You are on page 1of 233

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN DE LA TECNOLOGA DE INFORMACIN

Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el Bachiller: Emigdio Antonio Alfaro Paredes

ASESOR: Abraham Eliseo Dvila Ramn

Lima, Octubre 2008

TESIS: METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN DE TECNOLOGA DE INFORMACIN RESUMEN


De la revisin de la literatura sobre estndares internacionales de calidad relacionados a la gestin de tecnologa de informacin (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), PMBOK, ISO/IEC 27001, IEEE 1058-1998, ISO 9001:2000 e ISO 19011:2002), MoProSoft 1.3, y las normas relacionadas a la auditora informtica en el Estado Peruano, se concluye que no existe una metodologa para la auditora integral de la gestin de la tecnologa de informacin. Los enfoques actuales estn basados sobre el proceso general de auditora sumndoles las inclusiones no integradas de los diversos estndares de calidad internacional, o las normas vigentes para las entidades que son sujetas de evaluacin en una auditora. El objetivo de la tesis fue el desarrollo de una metodologa para la auditora integral de la gestin de la tecnologas de informacin (MAIGTI), con un enfoque de procesos, basado en estndares de calidad internacionales. MAIGTI enlaza los diversos conceptos de COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), Y PMBOK, sobre la base de una simplificacin del proceso general de auditora descrito en la norma ISO 19011:2002, y sobre la base de una adaptacin del esquema de procesos de la ISO 9001:2000 (ISO, 2000). MAIGTI comprende los siguientes elementos: (a) objetivo (la finalidad de la auditora), (b) alcance (detalle de lo que est incluido y lo que no est incluido como parte de la auditora), (c) entradas (requerimientos de informacin), (d) proceso de MAIGTI (evaluaciones a realizar) y (e) salidas (papeles de trabajo e informe de auditora). Asimismo, cada uno de los procedimientos para la evaluacin de los principales objetivos de control dentro de los subprocesos de MAIGTI, comprende la siguiente estructura: (a) objetivo (la finalidad del procedimiento de auditora), (b) alcance (detalle de lo que est incluido y lo que no est incluido como parte de la auditora a realizarse a travs del procedimiento), (c) entradas (requerimientos de informacin para ejecutar el procedimiento de auditora), (d) proceso (detalle de los pasos a seguir en el procedimiento de auditora), y (e) salidas (hallazgos evidenciados como resultado de la ejecucin del proceso). En los procedimientos descritos en el anexo 1, se ha detallado como salidas, algunos hallazgos posibles que se derivan como resultado de la experiencia de las aplicaciones de MAIGTI en auditoras realizadas por el autor de la tesis. MAIGTI ha sido aplicada principalmente a 2 empresas de seguros y de manera parcial 8 entidades ms, auditadas por el autor de la tesis, siendo aplicable para entidades usuarias de tecnologa de informacin. Se recomienda ampliar MAIGTI o crear otra metodologa, para la auditora integral de la gestin de tecnologa de informacin en entidades proveedoras de servicios de tecnologa de informacin.

A mis padres Emigdio y Hortensia, por su incansable apoyo incondicional. A mi esposa Miriam por su aliento que me ha permitido lograr mis objetivos. A la memoria de mi hijo Emigdio, quien me dio los mejores cinco aos de mi vida. A todos mis profesores, en especial a mi Asesor, Mg. Abraham Dvila, quien con sus valiosos aportes, me ha permitido lograr esta tesis.

NDICE LISTA DE FIGURAS ............................................................................................................ 7 INTRODUCCIN ................................................................................................................. 8 1. GENERALIDADES..................................................................................................... 10 1.1. 1.2. 1.3. 1.4. 1.5. 2. 2.1. 2.2. 3. 3.1. 3.2. 4. 4.1. 4.2. 5. 5.1. 5.2. 5.3. DEFINICIN DEL PROBLEMA.......................................................................... 10 MARCO CONCEPTUAL...................................................................................... 11 ESTADO DEL ARTE ............................................................................................ 22 DESCRIPCIN Y SUSTENTACIN DE LA SOLUCIN.................................. 41 PLAN DEL PROYECTO....................................................................................... 43 PROCESO DE DESARROLLO DE LA METODOLOGA.................................. 45 ARQUITECTURA DE LA METODOLOGA ...................................................... 45 PLANTEAMIENTO DE LA METODOLOGA ................................................... 55 COMPARACIN CON METODOLOGAS EXISTENTES................................ 68 ESTRATEGIA DE PRUEBAS .............................................................................. 71 ANLISIS DE RESULTADOS ............................................................................ 72 OBSERVACIONES .............................................................................................. 74 CONCLUSIONES ................................................................................................. 75 RECOMENDACIONES PARA TRABAJOS FUTUROS .................................... 76

DESARROLLO DE LA METODOLOGA .............................................................. 45

DESCRIPCIN DE LA METODOLOGA .............................................................. 55

PRUEBA DE LA METODOLOGA.......................................................................... 71

OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES .................... 74

BIBLIOGRAFA.................................................................................................................. 77 ANEXO 1 PROCEDIMIENTOS DE LA METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN INFORMTICA ........................................................... 81 P002: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN ESTRATGICA ................................................................................................................ 83 P003: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES OPERATIVOS 86 P004: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE RIESGOS........................................................................................................................... 91 P005: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN ESTRATGICA DE TECNOLOGAS DE INFORMACIN .......................................... 93 P006: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES DE PROYECTO DE DESARROLLO DE SISTEMAS DE INFORMACIN.............................................. 95 P007: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES DE PROYECTO DE COMPRA DE SISTEMAS DE INFORMACIN ..................................................... 100 P008: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CONTINGENCIAS DE INFORMTICA........................................................................................................ 106 P009: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CONTINUIDAD DE NEGOCIO........................................................................................................................ 110 P010: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE SEGURIDAD DE LA INFORMACIN ....................................................................................................... 114 P011: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE LICENCIAMIENTO DE SOFTWARE.............................................................................................................. 120

P012: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CAPACITACIN ......................................................................................................................................... 122 P013: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE MANTENIMIENTO PREVENTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS .......................................................................................................... 125 P014: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE MANTENIMIENTO CORRECTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS .......................................................................................................... 127 P015: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN DE LABORES DE RUTINA RELACIONADAS CON LAS TECNOLOGAS DE INFORMACIN ............................................................................................................. 130 P016: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CALIDAD.......... 133 P017: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE COMPRAS DE TECNOLOGAS DE INFORMACIN .......................................................................... 135 P018: PROCEDIMIENTO PARA LA AUDITORA DEL REGLAMENTO DE ORGANIZACIN Y FUNCIONES ................................................................................ 137 P019: PROCEDIMIENTO PARA LA AUDITORA DEL MANUAL DE ORGANIZACIN Y FUNCIONES ................................................................................ 139 P020: PROCEDIMIENTO PARA LA EVALUACIN DEL CURRCULUM VITAE DEL PERSONAL DE TECNOLOGA DE LA INFORMACIN ........................................... 141 P021: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE HARDWARE DE TECNOLOGA DE INFORMACIN............................................... 143 P022: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE SOFTWARE DE BASE................................................................................................... 145 P023: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE SISTEMAS DE INFORMACIN ....................................................................................................... 147 P024: PROCEDIMIENTO PARA LA AUDITORA DE LA SOLICITUDES Y EVALUACIONES DE LAS COTIZACIONES PARA LAS COMPRAS DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS............................... 150 P025: PROCEDIMIENTO PARA LA AUDITORA DE LAS SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LAS COMPRAS DE SOFTWARE DE BASE ............................................................................................................................... 151 P026: PROCEDIMIENTO PARA LA AUDITORA DE LAS SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LAS COMPRAS DE SISTEMAS DE INFORMACIN ............................................................................................................. 153 P027: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS DE COMPRA DE BIENES Y SERVICIOS, DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS........................................................................ 155 P028: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS PARA LAS COMPRAS DE SOFTWARE DE BASE......................................................................... 157 P029: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS PARA LAS COMPRAS DE SISTEMAS DE INFORMACIN ......................................................... 159 P030: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS DE SEGUROS PARA LAS TECNOLOGAS DE INFORMACIN.................................... 162 P031: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE DESARROLLO DE SISTEMAS DE INFORMACIN.................................................. 165 P032: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO ................................ 168 P033: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE ATENCIN DE REQUERIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN ............................................................................................................. 170 P034: PROCEDIMIENTO PARA LA AUDITORA DE LA DOCUMENTACIN DE LOS MANUALES TCNICOS DE LOS SISTEMAS DE INFORMACIN ................. 174 P035: PROCEDIMIENTO PARA LA AUDITORA DE LA DOCUMENTACIN DE MANUALES DE USUARIO DE LOS SISTEMAS DE INFORMACIN ..................... 176 4

P036: PROCEDIMIENTO PARA LA AUDITORA DE LA ARQUITECTURA DE LA RED DE TECNOLOGAS DE INFORMACIN............................................................ 178 P037: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO A LOS SISTEMAS DE INFORMACIN ....................................................................... 180 P038: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO A LAS CARPETAS EN LOS SERVIDORES ................................................................. 182 P039: PROCEDIMIENTO PARA LA AUDITORA DE LOS MANUALES DE PROCEDIMIENTOS DE SOPORTE TCNICO ............................................................ 184 P040: PROCEDIMIENTO PARA LA AUDITORA DE LOS MANUALES DE PROCEDIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN ........ 186 P041: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE ENTREGABLES DE PROYECTOS Y REQUERIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN.................................................. 187 P042: PROCEDIMIENTO PARA REALIZAR SEGUIMIENTO DE INFORMES DE AUDITORA INTERNA ................................................................................................. 189 P043: PROCEDIMIENTO PARA REALIZAR SEGUIMIENTO DE INFORMES DE AUDITORA EXTERNA ................................................................................................ 191 P044: PROCEDIMIENTO PARA LA AUDITORA DE CERTIFICACIONES DE CALIDAD DE TECNOLOGA DE INFORMACIN.................................................... 192 P045: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE DESEMPEO DEL REA DE TECNOLOGA DE INFORMACIN.......................... 194 P046: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE DESEMPEO DEL PERSONAL DE TECNOLOGA DE INFORMACIN................ 195 P047: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE CAMBIOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN ................................................................................... 197 P048: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE RIESGOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN ................................................................................... 200 P049: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE SEGUIMIENTO DE AVANCES EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN ................................................................................... 202 P050: PROCEDIMIENTO PARA LA AUDITORA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN ................................................................................... 203 P051: PROCEDIMIENTO PARA LA AUDITORA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO .......................... 206 P052: PROCEDIMIENTO PARA ENTREVISTAR A LOS USUARIOS DE LAS TECNOLOGAS DE INFORMACIN .......................................................................... 207 P053: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES ELCTRICAS DE LOS EQUIPOS DE CMPUTO Y REDES...................................... 210 P054: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO PRINCIPAL.................................................................... 213 P055: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO PRINCIPAL.......................................................................... 215 P056: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO ALTERNO...................................................................... 217 P057: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO ALTERNO............................................................................ 219 P058: PROCEDIMIENTO PARA LA AUDITORA DEL CABLEADO DE REDES DE DATOS ............................................................................................................................ 221 P059: PROCEDIMIENTO PARA LA AUDITORA DEL CLCULO DE LA GENERACIN DE VALOR DE LOS PROYECTOS .................................................... 222 P060: PROCEDIMIENTO PARA LA ELABORACIN DEL INFORME PRELIMINAR ......................................................................................................................................... 224 5

P061: PROCEDIMIENTO PARA EL ENVO, SUSTENTACIN Y CORRECCIN DEL INFORME FINAL ........................................................................................................... 226 P062: PROCEDIMIENTO PARA LA ELABORACIN DEL PLAN DE TRABAJO DE LA AUDITORA ............................................................................................................. 228 P063: PROCEDIMIENTO PARA LA MEDICIN DE LA RESISTENCIA DE LA PUESTA A TIERRA ....................................................................................................... 231

LISTA DE FIGURAS
FIGURA 1-1 KEMMERLING & PONDMAN (2004). ITIL FRAMEWORK..................................... 31 FIGURA 1-2 ALEXANDER (2007). NATURALEZA DE LA NORMA ISO/IEC 27001:2005. ........ 35 FIGURA 1-3 PAULK ET AL. (1993). KEY PRACTICES OF THE CAPABILITY MATURITY MODEL VERSION 1.1. THE FIVE LEVELS OF MATURITY OF CMM. ............................................ 36 FIGURA 1-4 IEEE (1998). FORMAT OF A SOFTWARE PROJECT MANAGEMENT PLAN. .......... 37 FIGURA 1-5 ISO (2002). DIAGRAMA DE FLUJO DEL PROCESO PARA LA GESTIN DE UN PROGRAMA DE AUDITORA ............................................................................................ 38 FIGURA 1-6 ISO (2000). MODELO DE UN SISTEMA DE GESTIN DE CALIDAD BASADO EN PROCESOS ....................................................................................................................... 40 FIGURA 2-1 ESTRUCTURA DE MAIGTI - METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN DE LA TECNOLOGA DE INFORMACIN ...................................................... 46 FIGURA 2-2 MAIGTI. METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN DE TECNOLOGA DE INFORMACIN..................................................................................... 47 FIGURA 3-1 RELACIONES DE LOS PROCEDIMIENTOS DE MAIGTI CON LOS ESTNDARES INTERNACIONALES COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000, PMBOK E ISO 19011. .................................................................................................................. 58 FIGURA 3-2 EL PROCESO MAIGTI ........................................................................................ 64

INTRODUCCIN
La diversidad de estndares internacionales para la gestin de las tecnologas de informacin ha aumentado en los ltimos aos, siendo el COBIT el estndar internacional ms completo, el cual incluye objetivos de control especficos considerando el ciclo de calidad de Deming (Plan, Do, Check , Act), para los diversos aspectos relacionados a la gestin de las tecnologas de informacin: gestin de procesos relacionados con la infraestructura de tecnologa de informacin, gestin de proyectos de infraestructura de tecnologa de informacin, gestin de proyectos de desarrollo de sistemas de informacin, y gestin de requerimientos relacionados a los sistemas de informacin en produccin; organizados en los grandes temas: Planificacin y Organizacin; Adquisicin e Implementacin; Entrega de Servicios y Soporte; y Monitoreo y Control. Sin embargo, pese a su existencia, no se dispone de procedimientos especficos dentro del marco de una metodologa para el desarrollo de auditoras de la gestin de tecnologas de informacin, aunque existen algunos procedimientos aislados que han propuesto algunas organizaciones como ISACA, orientados principalmente a la auditora de aspectos tcnicos. Adems, en la gestin de tecnologa de informacin comnmente se cometen muchos errores que en su conjunto estaran impidiendo o retrasando el logro de los objetivos organizacionales con los consecuentes perjuicios en las organizaciones usuarias de las tecnologas de informacin, de todo sector econmico y tamao. Por ello se hace necesario mejorar el proceso de evaluacin de la gestin informtica en los diversos tipos de organizaciones, siendo 8

este el primer paso para que se pueda realizar una planificacin estratgica de tecnologa de informacin integrada a las dems funciones de la organizacin.

La presente tesis contribuye a la solucin de este problema a travs de una propuesta metodolgica alineada a los estndares internacionales ms importantes para la auditora de la gestin de las tecnologas de informacin, mejorndose el proceso general de la auditora, enlazndolo e integrndolo con estndares internacionales (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 y PMBOK) de manera que se logren evaluaciones integrales mucho ms acertadas y se contribuya al logro de los objetivos organizacionales. Esta metodologa propuesta fue probada en dos de las empresas de seguros ms importantes del Per y ya ha sido validada y corregida, siendo un aporte importante para mejorar la gestin informtica en las organizaciones peruanas. Fue aplicada tambin de manera parcial, en otras entidades en las cuales el autor de la tesis realiz auditoras de la gestin informtica.

1.

GENERALIDADES

En este captulo se definir el problema a cuya solucin se pretende contribuir con el desarrollo de la presente tesis, se definir una serie de trminos que ayudarn a comprender mejor los diversos aspectos del documento de tesis, se explicar qu es la gestin de la tecnologa de informacin, los problemas que se presentan en la gestin de la tecnologa de informacin, el estado del arte en cuanto a estndares para la auditora de la gestin informtica, se describir la solucin propuesta para mejorar la auditora de la gestin de la tecnologa de informacin, y se detallar las actividades del proyecto de tesis.

1.1.

DEFINICIN DEL PROBLEMA

Las organizaciones emprenden grandes inversiones en tecnologa de informacin, muchas veces sin evaluar el impacto que realmente tienen en la generacin de valor de las mismas. Existen diversas normas dictadas por organismos supervisores como la Contralora General de la Repblica y la Superintendencia de Banca, Seguros y AFP, as como diversos estndares de calidad que han sido propuestos por diversas entidades a nivel mundial. Estas normas si bien nos ilustran de manera amplia, tcnica y ordenada sobre los elementos a tener en cuenta para una adecuada gestin informtica, no nos orientan de manera especfica sobre los procedimientos a seguir para una evaluacin integral de la

10

gestin informtica orientada al logro de los objetivos de un Plan Estratgico Organizacional (que se miden sobre la base de indicadores de gestin y resultados a alcanzar establecidos para toda la organizacin), lo que sera el primer paso a seguir, si queremos lograr una planificacin estratgica de la tecnologa de informacin, orientada hacia el logro de los objetivos organizacionales.

La presente tesis pretende cubrir este vaco de conocimiento proponiendo una metodologa para la auditora integral de la gestin de la tecnologa de informacin (MAIGTI), que permita enlazar los diversos conceptos propuestos por los ms importantes estndares de calidad internacionales, y de esa manera, permita contribuir a la generacin de valor de las organizaciones que la utilicen.

1.2.

MARCO CONCEPTUAL

Esta seccin nos mostrar una serie de definiciones importantes para la comprensin del documento, nos explicar qu es la gestin de la tecnologa de informacin, y los problemas que se presentan en sus procesos.

1.2.1. DEFINICIONES DE TRMINOS

A continuacin se definir una serie de trminos importantes para la correcta comprensin del documento: auditora, evaluacin del proceso de software, mtodo, metodologa, procedimiento, proceso, proceso de software, y tecnologa de informacin.

AUDITORA

ISO (2002) a travs de la norma ISO 19011:2002 indic las siguientes definiciones para los trminos: Criterio de Auditora, Evidencia de Auditora, Auditora y Hallazgos de Auditora, las cuales se muestran a continuacin:

A. Criterio de Auditora es un conjunto de polticas, procedimientos o requisitos.

11

B. La Evidencia de auditora comprende registros, declaraciones de hechos o cualquier otra informacin que son pertinentes para los criterios de auditora y que son verificables.

C. La Auditora es un proceso sistemtico, independiente y documentado para obtener evidencias de la auditora y evaluarlas de manera objetiva con el fin de determinar la extensin en que se cumplen los criterios de auditora.

D. Los Hallazgos de Auditora son los resultados de la evaluacin de la evidencia de la auditora recopilada frente a los criterios de auditora. Los hallazgos de auditora pueden indicar tanto conformidad o no conformidad con los criterios de auditora como oportunidades de mejora.

Paulk et al. (1993) indicaron que Auditora es una evaluacin independiente de un resultado o conjunto de resultados, para determinar la conformidad con las especificaciones, estndares, acuerdos contractuales, u otro criterio. Piattini & Del Peso (1998) explicaron lo siguiente:

Conceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y cumple las condiciones que le han sido prescritas. (p. 4)

Segn la NTP-ISO/IEC 12207:2006 (INDECOPI, 2006), el proceso de Auditora es un proceso para determinar el cumplimiento con los requerimientos, planes y contrato, segn aplique. Se indica adems que este proceso puede ser empleado por cualesquiera de las dos partes, donde una de ellas (la auditora) audita los productos software o actividades de la otra parte (la auditada). Segn ISACA (2008), la auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.

12

EVALUACIN DEL PROCESO DE SOFTWARE

Paulk et al. (1993) definieron la Evaluacin del Proceso de Software como una evaluacin de un equipo entrenado de profesionales de software para determinar el estado del actual proceso de software de la organizacin, y sus problemas ms prioritarios. Pressman (1998) explic que la medicin permite que gestores y profesionales mejoren el proceso del software en los aspectos siguientes: (a) ayudan en la planificacin, seguimiento, y control de un proyecto de software; y (b) evalan la calidad del producto (software) que se produce. Pressman (1998) indic tambin que las medidas de los atributos especficos del proceso, del proyecto, y del producto se utilizan para calcular las mtricas del software, las cuales se pueden analizar para proporcionar indicadores que guan acciones de gestin y tcnicas.

MTODO Paulk et al. (1993) indicaron que Mtodo es un conjunto de reglas y criterios razonablemente completo que establece una manera precisa y repetible de ejecutar una tarea y lograr un resultado deseado.

METODOLOGA Paulk et al. (1993) indicaron que Metodologa es una coleccin de mtodos, procedimientos y estndares que define una sntesis integrada de aproximaciones de ingeniera para el desarrollo de un producto.

PROCEDIMIENTO Paulk et al. (1993) indicaron que un Procedimiento es una descripcin escrita de un curso de accin a ser tomado para la ejecucin de una tarea dada.

PROCESO Paulk et al. (1993) indicaron que un Proceso es una secuencia de pasos para ejecutar un propsito dado. 13

Oktaba et al. (2005) indicaron que un Proceso es un conjunto de prcticas relacionadas entre s, llevadas a cabo a travs de roles y por elementos automatizados, que utilizando recursos y a partir de insumos producen un satisfactor de negocio para el cliente.

PROCESO DE SOFTWARE

Paulk et al. (1993) indicaron que un Proceso de Software es un conjunto de actividades, mtodos, prcticas y transformaciones que la gente usa para desarrollar y mantener software y los productos asociados (por ejemplo: planes de proyecto, documentos de diseo, cdigo, casos de prueba, y manuales de usuario).

Jacobson, Booch, & Rumbaugh (2000) indicaron que un proceso define quien est haciendo qu, cuando y cmo alcanzar un objetivo (construir un producto software o mejorar uno existente, para el caso de la ingeniera de software). Jacobson, Booch, & Rumbaugh (2000) explicaron tambin que un proceso efectivo proporciona normas para el desarrollo eficiente de software de calidad, captura y presenta las mejores prcticas que el estado actual de la tecnologa permite, y debera ser capaz de evolucionar durante muchos aos. Jacobson, Booch, & Rumbaugh (2000) definieron el proceso de desarrollo de software, de la siguiente manera: Proceso de negocio o caso de uso de negocio, de un negocio de desarrollo de software. Conjunto total de actividades necesarias para transformar los requisitos de un cliente en un conjunto consistente de artefactos que representan un producto software y - en un punto posterior en el tiempo - para transformar cambios en dichos requisitos en nuevas versiones del producto software (p. 431).

TECNOLOGA DE INFORMACIN A continuacin se tratar de definir con precisin el concepto Tecnologa de informacin (TI). Diversos autores han propuesto conceptos sobre TI:

14

A. Morton (1988) defini TI como un ente que comprende 5 componentes bsicos: computadoras, tecnologa de comunicaciones, estaciones de trabajo, robtica y circuitos de computadoras.

B. Huber (1990) defini TI como un dispositivo para transmitir, manipular, analizar o explotar informacin, en el cual una computadora digital procesa informacin integral a comunicaciones de usuarios y tareas de decisin.

C. Lau et al. (2001) indicaron que desde inicios de los 1970s, las aplicaciones de computadoras estuvieron orientadas a automatizacin de oficina y soporte a decisiones, tales como: procesamiento de palabras, hojas de clculo, y sistemas de informacin gerencial. Ahora se ha cambiado el nfasis de computacin mono usuario a colaboracin y conexin (Chatterjee, 1991).

Segn el IT Governance Institute (2008), una aplicacin de tecnologa de informacin es una funcionalidad electrnica que congrega partes de procesos de negocio con soporte de tecnologa de informacin. Adems, segn el IT Governance Institute (2008), un servicio de tecnologa de informacin es una provisin diaria de aplicaciones de tecnologa de informacin y soporte para su uso, incluyendo help desk, provisin y movimiento de equipos, y autorizaciones de seguridad.

Sumando los conceptos de los diversos autores, el trmino tecnologa de informacin comprende tanto al hardware de computadoras, redes y

comunicaciones, as como al software de base (sistemas operativos, servidores proxy, manejadores de bases de datos, servidores web, etc.) y los sistemas de informacin (sistemas que soportan procesos relacionados al manejo de la informacin en las organizaciones), as como los servicios relacionados, que se usan en las organizaciones para el logro de sus objetivos, tanto dentro de ellas como en sus interrelaciones con otros miembros de las cadenas de suministros con las cuales realizan transacciones.

1.2.2. GESTIN DE LA TECNOLOGA DE INFORMACIN

La gestin de tecnologa de informacin consiste en la aplicacin de los procesos de la administracin (planificacin, ejecucin, seguimiento y control) a los diversos 15

aspectos relacionados a los bienes y servicios de tecnologa de informacin. Incluye los siguientes aspectos: gestin de procesos relacionados con la infraestructura de tecnologa de informacin, gestin de proyectos de infraestructura de tecnologa de informacin, gestin de proyectos de desarrollo de sistemas de informacin, y gestin de requerimientos relacionados a los sistemas de informacin en produccin.

Piattini & Del Peso (1998) explicaron que el control interno informtico debe estar comprendido dentro de las labores del rea encargada de la gestin de tecnologa de informacin, y que el control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares, y normas fijadas por la Direccin de Organizacin y/o la Direccin de Informtica, as como los requerimientos legales.

1.2.3. PROBLEMAS EN LA GESTIN DE LA TECNOLOGA DE INFORMACIN

El IT Governance Institute desarroll junto con PriceWaterHouse Coopers Corporation, el IT Governance Global Status Report 2008 (IT Governance Institute, 2008), sobre la base de una muestra de 749 entrevistas a los gerentes generales, gerentes de informtica, gerentes de operaciones, gerentes financieros y auditores internos, con respecto a diversos puntos relacionados a la gestin de la tecnologa de informacin en sus organizaciones. La muestra de entrevistados incluy personas de 23 pases de organizaciones de diversos sectores econmicos y cantidad de empleados. Los resultados demostraron que la madurez del gobierno de tecnologa de informacin en el ao 2007 estuvo en 2.67 en promedio (considerando niveles de madurez anlogos al CMM, del 1 al 5).

En el IT Governance Global Status Report 2008, se indicaron los problemas manifestados por los entrevistados en orden descendente de importancia, los cuales fueron los siguientes: (a) insuficiente cantidad de personal, (b) problemas de entrega de servicios, (c) inadecuadas habilidades en el personal de tecnologa de informacin, (d) altos costos de la tecnologa de informacin versus el retorno de la inversin, problemas con proveedores, (e) falta de agilidad para la solucin de problemas, (f) problemas con la documentacin y la gestin del conocimiento, (g) falta de enlace entre la estrategia de tecnologa de informacin y la estrategia de la organizacin, (h) inadecuado plan de recuperacin de desastres, (i) problemas de 16

almacenamiento de la informacin, (j) incidentes operacionales serios debido a la tecnologa de informacin, (k) no se cumplen los requerimientos planeados inicialmente, y (l) problemas de seguridad de la informacin. Los ms grandes obstculos para la mejora de la gestin de tecnologa de informacin, sealados por los entrevistados, fueron los siguientes: (a) presupuestos y retorno de la inversin esperado, (b) falta de conocimiento y entendimiento del gobierno de tecnologa de informacin, (c) personal, (d) problemas de planificacin, (e) otros, (f) falta de apoyo de la alta gerencia, (g) procedimientos de trabajo, (h) no hay una visin clara de las metas ms importantes, (i) falta de apoyo de otras gerencias, (j) falta de comunicacin entre el rea de tecnologa de informacin y las otras reas, y (k) legislacin. Algunos indicadores a resaltar en el estudio, son los siguientes:

Slo el 20% realiza una gestin activa del retorno de la inversin de la tecnologa de informacin. 22% est en proceso de implementacin de este aspecto.

Slo el 25% mide el rendimiento de la gestin de tecnologa de informacin. 29% est en proceso de implementacin de este aspecto.

Slo el 30% realiza una gestin formal del riesgo de tecnologa de informacin. 32% est en proceso de implementacin de este aspecto.

Slo el 23% ha alineado la estrategia de tecnologa de informacin a la estrategia de la organizacin. 32% est en proceso de implementacin de este aspecto.

Alfaro (2007), enunci algunos errores comunes en los proyectos de desarrollo o implantacin de sistemas de informacin en el Per, los cuales se presentan a continuacin:

A. El desarrollo o implantacin del sistema de informacin se toma como un proyecto aislado del Plan Estratgico de la empresa, en el caso que la empresa tenga un plan estratgico.

B. No se hace participar al usuario en la definicin de los requerimientos del sistema de informacin.

17

C. El usuario, pese a ser convocado, toma a la ligera su responsabilidad en la definicin de los requerimientos. Despus, los cambia continuamente cuando el desarrollo o la operacin del sistema de informacin est en marcha.

D. El personal de Informtica que toma los requerimientos no conoce de los procesos de gestin a los cuales darn soporte los sistemas de informacin que se desarrollarn.

E. El proveedor del sistema de informacin trata de minimizar los cambios con respecto a las caractersticas que se tiene que personalizar. Sugiere comnmente que la empresa cambie sus procesos de acuerdo a la configuracin estndar de su producto.

F. Se personaliza el producto del proveedor, de acuerdo a los requerimientos de la empresa; sin embargo, estos requerimientos cambian continuamente dado que la gerencia no tiene clara su estrategia o los procesos para llevarla a cabo.

G. No se sigue los procesos formales del Ciclo de Vida del Software, pese a que es parte de la formacin acadmica estndar que se recibe en los institutos y universidades del Per, en las carreras de Computacin, Informtica o Sistemas. Dentro de estos procesos del ciclo de vida del software que comnmente no se desarrollan o se desarrollan mal, tenemos los siguientes:

a) Diseo de Planes de Pruebas. No se elaboran documentos en los cuales est detallada la secuencia de pruebas completa con datos de entrada y datos de salida esperados como resultado, en cada una de las pantallas de los mdulos de un sistema de informacin.

b) Ejecucin de las pruebas. Comnmente vemos que el usuario es quien realiza las pruebas. El proveedor del sistema de informacin no realiza las pruebas y el personal de Informtica de la empresa cliente tampoco las realiza (porque asume que las pruebas las realizar el usuario) y el usuario realiza las pruebas a la ligera y no detecta los errores sino hasta que usa el sistema en el ambiente de produccin (ambiente de software donde est el sistema de informacin con datos reales).

18

c) Diseo de Planes de Integracin. Se implantan los mdulos por partes, con la consecuente programacin de interfaces que no estaban planeadas desde un inicio. Estas interfaces comnmente fallan. Es comn que recin cuando el sistema de informacin est implantado, nos damos cuenta que era necesario que interacte con otros sistemas de informacin de la empresa tanto enviando datos hacia esos sistemas como recibiendo datos de ellos.

d) Diseo de Planes de Migracin. No se hace un diseo de cmo migrarn los datos de los sistemas de informacin antiguos hacia los nuevos sistemas de informacin. En muchos casos se indica al usuario que los datos anteriores los vean en el antiguo sistema y los datos nuevos los vean en el nuevo sistema.

Rubinstein (2007) explic que el Standish Chaos Report revel que el 35% de los proyectos fueron exitosos (cumplieron alcance, tiempo y costo) en USA en el ao 2006, a diferencia del 16.2% que se obtuvo en el ao 1994. Asimismo, se redujo la tasa de proyectos que fueron cancelados de 31.1% en el ao 1994 a 19% en el ao 2006. Rubinstein (2007) indic tambin que la cantidad de proyectos descritos como desafiados (exceso grande en tiempo y costos, o que no cubran las necesidades) baj de 52.7% en 1994 a 46% en el 2006. Lamentablemente, no se dispone de estudios similares en nuestro pas para hacer un comentario estadstico acerca del xito en la implantacin de los sistemas de informacin en el Per.

Alfaro (2008) desarroll una investigacin sobre la base de los procesos de seleccin relacionados a la implementacin de las normas tcnicas peruanas de gestin de tecnologa de informacin: NTP-ISO/IEC 12207 y NTP-ISO/IEC 17799, en las entidades del Estado Peruano. Como resultado de la investigacin se obtuvo que slo 4.39% de las 1026 entidades usuarias de tecnologa de informacin en el Estado Peruano (segn cifras del INEI del ao 2002), habran realizado acciones para la implementacin de las normas tcnicas peruanas de gestin de tecnologa de informacin. Slo 1.27% habra logrado implementar la NTP-ISO/IEC 12207, y slo 1.27% habra logrado implementar la NTP-ISO/IEC 17799. En total se habra invertido S/. 2760,718 nuevos soles, en servicios de asesora, consultora (diagnstico, plan de implementacin, polticas y procedimientos), personal de apoyo, y capacitacin, entre otros.

19

Laudon & Laudon (2008) explicaron que muchas empresas se muestran renuentes a invertir demasiado en la seguridad porque no est directamente relacionada con los ingresos por ventas; pero, la proteccin de los sistemas de informacin es crucial para el funcionamiento del negocio. Resaltaron adems la importancia de los activos de informacin (impuestos, informacin financiera, registros mdicos, evaluaciones de desempeo laboral, etc.). Tambin explicaron que los aspectos ticos de los sistemas de informacin han cobrado nueva importancia por el surgimiento de Internet y el comercio electrnico, y resaltaron la importancia de la seguridad de los individuos y de la sociedad. Laudon & Laudon (2008) indicaron:

Internet y las tecnologas para las empresas digitales facilitan ms que nunca la recopilacin, integracin, y distribucin de la informacin, y desencadenan nuevas preocupaciones del uso apropiado de la informacin del cliente, la proteccin de la privacidad personal, y la proteccin de la propiedad intelectual (p. 128).

Alfaro (2007) describi tambin caractersticas tpicas en los sistemas de informacin de una empresa, antes de tomar la decisin de la implantacin de un sistema de informacin ERP (Enterprise Resources Planning), las cuales describen parte de la problemtica de la entrega de servicios informticos para las diversas reas usuarias:

A. Los sistemas de informacin no se interrelacionan entre s. Se debe mirar la informacin en un sistema, anotarla en un cuaderno o exportarla a una hoja de clculo y luego recin se puede ingresar los datos correctos en otro sistema. No interactan los sistemas de informacin de las reas de Ventas, Produccin, Almacenes, Contabilidad, etc.

B. Existen muchos errores en la informacin. Frecuentemente salen errores en las pantallas del sistema al momento de ingresar la informacin. Esos errores se comunican al rea de Informtica; pero, no se corrigen o si se corrigen, luego encontramos errores similares o diferentes en otras pantallas.

C. Las pantallas del sistema no son amigables. Se tienen que hacer muchos pasos o entrar a varias ventanas para ingresar la informacin. Adems, si se equivocan en ingresar la informacin en una pantalla, ocurre un error y tienen que salir del sistema de informacin e ingresar nuevamente. En algunos casos, 20

adems se debe reinicializar la computadora para que pueda funcionar nuevamente el sistema de informacin.

D. Diversidad de plataformas tecnolgicas. Comnmente en las organizaciones, conviven varias plataformas tecnolgicas con las cuales se ha desarrollado sistemas de informacin (tanto a nivel de la base de datos, como en las herramientas y lenguajes de programacin). Se puede observar bases de datos en Oracle, SQL Server, Access, DB2, Informix, DBFs, Archivos Binarios, Archivos de Texto Secuenciales, etc. Tambin se puede observar los lenguajes de programacin siguientes: Cobol, Visual Cobol, Visual Basic, Visual FoxPro, FoxPro for Windows, FoxPro, Power Builder, ASP, JSP, PHP, etc. En las empresas comnmente vemos que la eleccin de la plataforma tecnolgica estuvo en funcin de lo que saban las personas que estaban encargadas del desarrollo, las cuales no fueron constantes en el puesto a lo largo de la historia de la empresa.

E. No se tiene documentacin de los sistemas de informacin actuales. No se tiene documentacin tcnica ni documentacin de usuario que permita dar un rpido mantenimiento a los sistemas de informacin actuales de la empresa. Los programadores no dejaron documentados sus programas ni se tiene manuales tcnicos con los cuales se pueda entender las decenas de miles de cdigo de los programas que dejaron.

F. Los sistemas de informacin actuales son muy lentos. Ocurren demoras considerables en la bsqueda y registro de informacin, retrasndose el trabajo del personal de las diversas reas de la empresa. En muchos casos, la tecnologa que se usa, no permite administrar eficientemente el volumen de datos que se tiene en las diversas tablas del sistema de informacin.

Cabe sealar adems que comnmente se carece de o se tiene mal diseados los siguientes planes relacionados a la Gestin de la Tecnologa de Informacin: Plan de Continuidad de Negocio, Plan de Contingencias de Informtica, Plan de Seguridad de la Informacin, Plan de Mantenimiento (Preventivo y Correctivo), Plan de Licenciamiento de Software, Plan de Capacitacin, Planificacin de Labores de Rutina, Planes de Compras, Planes de Proyectos, etc. Dado que los planes estaban mal diseados o se careca de ellos, en la prctica, su ejecucin tambin present una serie de deficiencias o carencias, las cuales se presentan en un nmero tan 21

grande en las empresas, que los informes de auditora al respecto de cada uno de estos temas (en su conjunto), podran llenar varias decenas o quizs hasta centenas de pginas.

1.3.

ESTADO DEL ARTE

La Gestin de la Tecnologa de Informacin, ha evolucionado muy rpido en las ltimas dcadas, desde su aparicin. Ya no es suficiente que se comprenda los procesos de desarrollo de sistemas de informacin, o los procesos de construccin o mantenimiento de infraestructura de tecnologas de informacin. Ahora las gerencias de tecnologa de informacin, deben alinearse a los sistemas de gerencia modernos (los sistemas de gestin de la calidad), basados en el ciclo de Deming (Plan, Do, Check, Act). Estos sistemas de gerencia modernos, tienen impacto en la cultura organizacional, la estructura organizacional, los procesos, las polticas, los procedimientos y las instrucciones; no slo de personal relacionado con la gestin de la tecnologa de informacin, sino tambin con sus usuarios.

En el Per, esto recin ha empezado desde hace pocos aos. En el Estado Peruano se inici la aplicacin de la NTP-ISO/IEC 12207:2004 Procesos del Ciclo de Vida del Software (INDECOPI, 2004) en Julio del 2006. Esta norma ya ha sido actualizada y ahora se tiene la NTP-ISO/IEC 12207:2006 (INDECOPI, 2006). Adems se tiene la NTP-ISO/IEC 17799:2004 (INDECOPI, 2004), que si bien se titula Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin, en la prctica es una norma que regula los procesos y proyectos que se realizan en reas de gestin de infraestructura de tecnologas de informacin (comnmente llamadas Soporte Tcnico). A esto se suma las normas de control interno gubernamental para los sistemas informticos de Contralora General de la Repblica, que se tiene desde el ao 1998 (Contralora General de la Repblica, 1998) y que ha sido mejorada tenindose una actualizacin (Contralora General de la Repblica, 2006).

En la actualidad, cuando se realiza auditoras informticas en entidades del Estado Peruano (a travs de Auditora Interna, Auditoras Externas o Auditoras de Contralora General de la Repblica), se debera tener como objetivos de control, los establecidos en las normas de control interno de Contralora General de la

22

Repblica, la NTP-ISO/IEC 12207:2006, la NTP-ISO/IEC 17799:2007, as como normas relativas a la tenencia de software pirata, transparencia, y elaboracin de planes estratgicos de Informtica y planes operativos de Informtica, entre otras.

En las entidades del sector privado supervisadas por la SBS (Superintendencia de Banca, Seguros y Administradoras de Fondos de Pensiones), las auditoras informticas se rigen por la Circular G-105-2002/SBS (Riesgos de Tecnologa de Informacin). La SBS supervisa en la prctica a: bancos, seguros, administradoras de fondos de pensiones, empresas financieras, edypymes, cajas de ahorro y crdito, y empresas que envan y reciben dinero. Los objetivos de control de la Circular G-105-2002/SBS (Superintendencia de Banca, Seguros y AFP, 2002) comprenden en gran parte los objetivos de control de la NTP-ISO/IEC 17799:2004.

En el contexto internacional existen las normas y/o modelos siguientes: COBIT (ISACA, 1998; ISACA, 2006), CMM (Capability Maturity Model), PMBOK, ISO/IEC 12207 (Procesos del Ciclo de Vida del Software), ISO/IEC 17799 (Cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin), ISO/IEC 27001 (Sistema de Gestin de Seguridad de la Informacin), ISO/IEC 20000 (Modelo de Gestin de Servicios de Tecnologa de Informacin) o ITIL (Information Technology Infrastructure Library), entre otras, las cuales pueden ser aplicadas a las entidades privadas que deseen implementarlas por razones de mercado, seguridad, mejora en calidad de servicio, costos, etc.

Si bien las normas internacionales son muy amplias; en la actualidad, se carece de una metodologa integradora que permita enlazarlas en un todo coordinado que ayude a la gestin informtica al logro de los objetivos organizacionales. No se dispone a la fecha, de una metodologa que permita enlazar el lenguaje de la gestin de la tecnologa de informacin con la metodologa genrica de la auditora ya sea privada o pblica, sumndose a las buenas prcticas internacionales de calidad.

A continuacin se har una breve descripcin de los estndares internacionales de calidad ms importantes, relacionados con la gestin de las tecnologas de informacin. Adems de los estndares que han servido de base para el desarrollo de la metodologa propuesta por la presente tesis (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 y PMBOK), se explicar brevemente los alcances de ISO/IEC 27001, CMM, IEE 1058-1998, ISO 19011:2002, MoProSoft 1.3 (Modelo de 23

Procesos de la Industria del Software versin 1.3), y el Modelo de un Sistema de Gestin de Calidad basado en Procesos de la norma ISO 9001:2000.

1.3.1. COBIT

COBIT es un estndar propuesto por ISACA (Information Systems Audit and Control Association). COBIT significa Control Objectives for Information and related Technologies (Objetivos de Control para las Tecnologas de Informacin y relacionadas).

Es el estndar ms completo. Agrupa los diversos conceptos expresados en las normas descritas previamente: ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 20000, CMM y PMBOK. Permite una evaluacin integral y coordinada de los diversos elementos que forman parte de la gestin de la tecnologa de informacin (desarrollo de sistemas de informacin, e infraestructura de tecnologa de informacin), integrada a la gestin estratgica de la organizacin.

ISACA (1998) indic que COBIT comprende los siguientes grupos de objetivos de control:

A. Planificacin y Organizacin.

Entre los objetivos de control de este grupo tenemos:

a) b) c) d) e) f) g) h) i) j) k) l)

Plan de Informtica alineado al Plan Estratgico de la Organizacin. Planes de Proyectos. Plan de Seguridad. Plan de Contingencias. Plan de Capacitacin. Plan de Licenciamiento de Software. Planes de Mantenimiento Preventivo y Correctivo. Plan de Calidad. Presupuestos. Estructura Organizacional. Recursos Disponibles. Metodologas de Trabajo. 24

B. Adquisicin e Implementacin

Entre los objetivos de control de este grupo tenemos:

a)

Adquisiciones de tecnologas de informacin y afines: equipos de cmputo, equipos de red, licencias de software, sistemas de informacin, etc.

b) c) d) e) f) g) h)

Propuestas Tcnicas. Propuestas Econmicas. Evaluaciones de Proveedores. Contratos. Desarrollo de tecnologas de informacin de base. Desarrollo de sistemas de informacin. Cumplimiento de metodologas y la documentacin respectiva.

C. Entrega de Servicios y Soporte.

Entre los objetivos de control de este grupo tenemos:

a)

Entrega de servicios de Desarrollo e Implantacin de Sistemas de Informacin.

b)

Evaluacin de posibles soluciones de lo desarrollado o comprado e implantado.

c) d) e) f)

Medidas de seguridad. Nivel de satisfaccin de los usuarios con respecto al servicio otorgado. Entrega de servicios de Soporte Tcnico. Infraestructura de Tecnologas de Informacin: Hardware y Software de Base, as como servicios relacionados.

D. Monitoreo y Control

Entre los objetivos de control de este grupo tenemos:

a) b) c) d)

Seguimiento de los planes. Evaluacin Interna del desempeo. Certificaciones o acreditaciones independientes de control y seguridad. Provisin de auditora Independiente. 25

Si bien en la prctica COBIT es considerado un buen estndar para la auditora informtica, unido al ciclo de calidad de Deming (Plan, Do, Check, Act) podra ser el mejor sistema de gestin para la tecnologa de informacin.

1.3.2. ISO/IEC 12207

ISO/IEC 12207 Procesos del Ciclo de Vida del Software, es una norma que provee una serie de objetivos de control para la gestin de los proyectos de desarrollo de software. Para un desempeo ideal de las reas de desarrollo de sistemas de informacin, esta norma debe unirse a ISO/IEC 2000 (ITIL).

Los Grupos de Procesos incluidos en la norma NTP-ISO/IEC 12207:2006 son los siguientes:

A. Procesos Principales

Este grupo de procesos incluye:

a) b) c) d) e)

Adquisicin Suministro Desarrollo Operacin Mantenimiento.

B. Procesos de Apoyo

Este grupo de procesos incluye:

a) b) c) d) e) f) g)

Documentacin Gestin de la Configuracin Aseguramiento de la Calidad Verificacin Validacin Revisin Conjunta Auditora 26

h)

Solucin de Problemas.

C. Procesos Organizativos

Este grupo de procesos incluye:

a) b) c)

Infraestructura Mejora de procesos Recursos Humanos.

Cabe resaltar que comnmente se conoca como Ciclo de Vida del Software, a los procesos de desarrollo (identificacin de necesidades, planificacin, anlisis, diseo, programacin, integracin, pruebas e implantacin) y mantenimiento. Este norma complementa muy bien la ingeniera del software con procesos de gestin con el enfoque de calidad de Deming (Plan, Do, Check, Act).

1.3.3. ISO/IEC 17799

ISO/IEC 17799 Cdigo de Buenas Prcticas de Gestin de Seguridad de la Informacin, en la prctica es una norma que provee una serie de objetivos de control para la gestin de procesos y proyectos de infraestructura de tecnologa de informacin (reas comnmente llamadas Soporte Tcnico). Tambin incluye secciones relacionadas a la seguridad en el desarrollo de sistemas de informacin y a la gestin de la continuidad del negocio. ISO/IEC 17799 incluye los siguientes grupos de objetivos de control:

A. Poltica de Seguridad

Entre los objetivos de control de este grupo tenemos:

a) Documento de Poltica de Seguridad de la Informacin. b) Revisin y Evaluacin.

27

B. Aspectos Organizativos de la Seguridad

Entre los objetivos de control de este grupo tenemos:

a) Estructura para la Seguridad de la Informacin: Comit, Recursos, Responsabilidades, Asesora de Expertos, Colaboracin entre

organizaciones y Evaluacin Independiente. b) Seguridad en los accesos de terceras partes. c) Outsourcing.

C. Clasificacin y Control de Activos

Entre los objetivos de control de este grupo tenemos:

a) Responsabilidades sobre los activos. b) Clasificacin de la Informacin.

D. Seguridad Ligada al Personal

Entre los objetivos de control de este grupo tenemos:

a) Seguridad en la Definicin del Trabajo y Recursos b) Formacin y capacitacin en seguridad de la informacin c) Respuesta ante incidencias y malos funcionamientos de la seguridad

E. Seguridad Fsica y del Entorno

Entre los objetivos de control de este grupo tenemos:

a) reas Seguras b) Seguridad de los equipos c) Controles Generales

28

F. Gestin de Comunicaciones Y Operaciones

Entre los objetivos de control de este grupo tenemos:

a) Procedimientos y Responsabilidades de Operacin b) Planificacin y Aceptacin del Sistema c) Proteccin contra software malicioso d) Gestin Interna de Respaldo y Manipulacin e) Gestin de redes f) Uso y seguridad de los medios de informacin

g) Intercambio de Informacin y Software

G. Control de Accesos

Entre los objetivos de control de este grupo tenemos:

a) Requisitos de negocio para el control de accesos. b) Gestin de acceso a usuarios. c) Responsabilidades de los usuarios. d) Control de acceso a la red. e) Control de acceso al sistema operativo. f) Control de acceso a las aplicaciones.

g) Seguimiento de accesos y usos del sistema. h) Informtica mvil y teletrabajo.

H. Desarrollo y Mantenimiento de Sistemas

Entre los objetivos de control de este grupo tenemos:

a) b) c) d) e)

Requisitos de seguridad en los sistemas. Seguridad de las aplicaciones. Controles criptogrficos. Seguridad de los archivos del sistema. Seguridad en los procesos de desarrollo y soporte.

29

I.

Gestin de la Continuidad del Negocio

Entre los objetivos de control de este grupo tenemos:

a) b) c)

Planificacin. Prueba. Mantenimiento y reevaluacin de los planes de continuidad.

J. Cumplimiento

Entre los objetivos de control de este grupo tenemos:

a) b) c)

Cumplimiento de los requisitos legales. Revisiones de la poltica de seguridad y la conformidad tcnica. Consideraciones sobre la auditora de sistemas.

Para un desempeo ideal de las reas de gestin de infraestructura de tecnologa de informacin, esta norma debe unirse a ISO/IEC 20000 (ITIL Information Technology Infrastructure Library).

1.3.4. ISO/IEC 20000 (ITIL)

Para un desempeo ideal de las reas de Informtica, las normas ISO/IEC 12207, ISO/IEC 17799 e ISO/IEC 27001 deben unirse a ISO/IEC 20000, la cual es equivalente al estndar BS15000 o ITIL Information Technology Infrastructure Library, el cual provee de una metodologa para la gestin de los requerimientos de desarrollo que tienen que ver con los sistemas en produccin (los sistemas que ya estn utilizando los usuarios de las diversas reas de la organizacin).

30

La siguiente figura muestra el marco referencial en el que se ubica ITIL.

Figura 1-1 Kemmerling & Pondman (2004). ITIL Framework.

Una organizacin que ha adoptado las buenas prcticas de la gestin de servicios de tecnologa de informacin de ITIL, mejora significativamente la velocidad de atencin de requerimientos de desarrollo de sistemas de informacin, para los sistemas que ya estn en produccin y que no signifiquen el desarrollo de nuevos proyectos. Tambin ordena la gestin de requerimientos de servicios informticos en produccin (desarrollo de sistemas de informacin y soporte tcnico) en un slo ente llamado service desk (mesa de servicio). Sin embargo, es necesario precisar que se debe mejorar la calidad de los procesos intrnsecos del ciclo de vida del software para evitar que ITIL se convierta en la automatizacin de correcciones de errores que nunca debieron presentarse.

Cabe resaltar adems que quienes se certifican con ITIL son las personas, no las organizaciones en las cuales dichas personas aplican las buenas prcticas de la gestin de servicios de tecnologa de informacin (ITIL Foundation, 2008).

31

A continuacin se detalla la gestin de la atencin de requerimientos de ITIL:

A. Previamente a la atencin, se ha definido o desarrollado:

a) b)

Niveles de servicio. Criterios para determinar qu requerimientos se pueden atender por el operador que atiende en el service desk (ente que canaliza los diversos requerimientos tanto que tengan que ver con procesos de desarrollo de sistemas de informacin como procesos de gestin de infraestructura de tecnologa de informacin) en un tiempo determinado (15 minutos por ejemplo).

c)

Criterios para determinar qu requerimientos se pueden atender en caja rpida y en qu tiempo (en menos de 4 horas por ejemplo).

d)

Criterios para determinar los siguientes niveles de servicio en funcin de la complejidad y naturaleza del requerimiento, adems de las competencias de los recursos disponibles.

e)

Un sistema de informacin para soporte de transacciones y para la gestin del conocimiento de las transacciones registradas en el service desk. Esto incluye evaluaciones del servicio que debe realizar la persona que lo ha recibido.

Comnmente los criterios estn en funcin del perjuicio que podra ocasionar la ausencia de los servicios de tecnologa de informacin, afectndose a:

a) b) c)

Clientes Externos y Clientes Internos. Slo Clientes Externos. Slo Clientes Internos.

B. Todos los requerimientos de atenciones sobre las tecnologas de informacin en produccin, se realizan a travs del service desk, ya sea por telfono, sistema de informacin o correo electrnico. Los requerimientos al inicio son considerados incidentes; es decir, interrupciones a la operacin normal de los servicios de tecnologa de informacin.

C. Los requerimientos reportados son ingresados a la Gestin de Incidentes, de acuerdo a los niveles de servicio previamente definidos. 32

D. La Gestin de Problemas aparece para solucionar las causas de incidentes comunes que han sido registrados en el Service Desk. Ello a su vez, generar nuevos requerimientos.

E. La Gestin de Incidentes o la Gestin de Problemas pueden provocar:

a)

Que se inicie la Gestin de Cambios (cualquier cambio por mnimo que parezca debe ser registrado con los correspondientes efectos en la Gestin de Versiones y la Gestin de Configuraciones).

b)

Que se inicie la Gestin de Versiones (gestin de versiones de documentos, cdigo fuente, ejecutables, etc.).

c)

Que se inicie la Gestin de Configuraciones (configuraciones en hardware, software de base y sistemas de informacin).

1.3.5. PROJECT MANAGEMENT BODY OF KNOWLEDGE

El PMBOK Project Management Body Of Knowledge, o Gua de los Fundamentos de la Direccin de Proyectos, es un compendio de los diversos conceptos y metodologas de la gestin de proyectos, agrupados bajo un enfoque de procesos. El PMBOK fue propuesto por el PMI Project Management Institute. El PMBOK permite la comprensin de la Gestin de Proyectos, a travs de la interaccin de los grupos de procesos y las reas de conocimiento que propuso el PMI.

Project Management Institute (2004) propuso los siguientes Grupos de Procesos:

A. Inicio B. Planificacin C. Ejecucin D. Seguimiento y Control E. Cierre

33

Project Management Institute (2004) propuso las siguientes reas de Conocimiento:

A. Integracin B. Alcance C. Tiempo D. Costo E. Calidad F. Recursos Humanos G. Comunicaciones H. Riesgos I. Adquisiciones

El enfoque de procesos del PMI permite establecer para cada proceso de cada grupo de procesos: sus entradas, sus salidas, as como las herramientas y tcnicas diversas. El aporte significativo que da el PMI a la Gestin de Proyectos, adems del enfoque de procesos, radica en que agrega ms reas de conocimiento a las tpicamente conocidas: alcance, tiempo, costo y calidad.

La Gestin de Proyectos bajo el enfoque PMI, el cual no slo es aplicable a proyectos de tecnologas de informacin sino a todos los proyectos, permite un cambio cultural al integrar la gestin dentro y fuera del equipo desarrollador del proyecto en la organizacin. Tiene impactos en el equipo de usuarios, en el equipo del proveedor, as como un equipo auditor del proyecto.

PMBOK no restringe el uso de determinadas herramientas y tcnicas, sino que sugiere algunas como ampliamente aceptadas y da cierta libertad al gerente de proyecto para que determine aquellas que sern de provecho para su gestin. La certificacin del PMI es la llamada PMP Project Management Professional, la cual certifica a las personas que deseen mejorar sus conocimientos de gestin de proyectos; sin embargo, no se certifica a la organizacin en s.

34

1.3.6. ISO/IEC 27001

Partes Interesadas
Stakeholders Clientes Proveedores Usuarios Accionistas Socios Otros

Establecimiento del SGSI

Partes Interesadas
Stakeholders Clientes Proveedores

PLAN

Implementacin del SGSI

Mejora Continua del SGSI

Usuarios Accionistas Socios Otros

DO

ACT

Requisitos y Expectativas para la Seguridad de la Informacin

Monitorizacin y Revisin del SGSI

CHECK

Seguridad de la Informacin Gestionada

Figura 1-2 Alexander (2007). Naturaleza de la Norma ISO/IEC 27001:2005.

Alexander (2007) indic que el ISO/IEC 27001:2005 se ha desarrollado como modelo para el establecimiento, la implementacin, la operacin, el monitoreo, la revisin, el mantenimiento y la mejora de un Sistema de Gestin de Seguridad de la Informacin para cualquier clase de organizacin. El diseo y la implantacin se encuentran influenciados por las necesidades, los objetivos, los requisitos de seguridad, los procesos, los empleados, el tamao, los sistemas de soporte y la estructura de la organizacin. Est basada en el ciclo de Deming (Plan, Do, Check, Act), como se muestra en la figura anterior.

Alexander (2007) explic que entre los puntos considerados en la norma tenemos: control de documentos, control de registros, responsabilidad gerencial, provisin de recursos, capacitacin, conocimiento y capacidad, revisin gerencial, auditoras internas, mejora continua, accin correctiva y accin preventiva. Esta norma toma como referencia los objetivos de control de la norma ISO/IEC 17799, la cual fue explicada previamente.

35

1.3.7. CAPABILITY MATURITY MODEL

El SEI Software Engineering Institute desarroll el CMM Capability Maturity Model, el cual permite identificar el estado de madurez de la gestin de los procesos de desarrollo de software. En la prctica, este modelo no ha sido empleado solamente a procesos de software, sino tambin a los procesos de gestin organizacionales en general, y a los procesos de gestin de proyectos en particular.

El CMM es el estndar de calidad exigido en el mundo desarrollado para las empresas de desarrollo de software. Paulk et al. (1993) indicaron los niveles de madurez del CMM: (a) Nivel 1, Inicial; (b) Nivel 2, Repetido; (c) Nivel 3, Definido; (d) Nivel 4, Administrado; y (e) Nivel 5, Optimizado. Los 5 niveles del CMM, se muestran en la siguiente grfica:

Figura 1-3 Paulk et al. (1993). Key Practices of the Capability Maturity Model Version 1.1. The Five Levels of Maturity of CMM.

36

1.3.8. IEEE 1058-1998 La norma IEEE 1058 (IEEE, 1998) indic los siguientes componentes del Plan de Proyecto de Software:
Title Page Signature Page Change History Preface Table of Contents List of Figures List of Tables 1. Overview 1.1 Project Summary 1.1.1 Purpose, Scope and Objectives 1.1.2 Assumptions and Constraints 1.1.3 Project Deliverables 1.1.4 Schedule and Budget Summary. 1.2 Evolution of the Plan 2. References 3. Definitions 4. Project Organization 4.1 External Interfaces 4.2 Internal Structure 4.3 Roles and Responsibilities 5. Managerial Process Plans 5.1 Start-up Plan 5.1.1 Estimation Plan 5.1.2 Staffing Plan 5.1.3 Resource Acquisition Plan 5.1.4 Project Staff Training Plan 5.2 Work Plan 5.2.1 Work Activities 5.2.2 Schedule Allocation 5.2.3 Resource Allocation 5.2.4 Budget Allocation 5.3 Control Plan 5.3.1 Requirements Control Plan 5.3.2 Schedule Control Plan 5.3.3 Budget Control Plan 5.3.4 Quality Control Plan 5.3.5 Reporting Plan 5.3.6 Metrics Collection Plan 5.4 Risk Management Plan 5.5 Closeout Plan 6. Technical Process Plans 6.1 Process Model 6.2 Methods, tools, and techniques 6.3 Infrastructure Plan 6.4 Product Acceptance Plan 7. Supporting Process Plans 7.1 Configuration Management Plan 7.2 Verifications and Validation Plan 7.3 Documentation Plan 7.4 Quality Assurance Plan 7.5 Reviews and audits 7.6 Problem Resolution Plan 7.7 Subcontractor Management Plan 7.8 Process Improvement Plan 8. Additional Plans Annexes Index.

Figura 1-4 IEEE (1998). Format of a Software Project Management Plan.

37

Como puede observar en la figura 1.6, los diversos elementos del Plan de Proyecto de Software, estn comprendidos en los objetivos de control de la ISO/IEC 12207 (ver seccin 1.3.2) y el PMBOK (ver seccin 1.3.6). Por ello, si bien el formato de la figura anterior, sugerido en la norma IEEE Std 1058-1998 (IEEE, 1998), es bastante completo, su alcance estara incluido en la ISO/IEC 12207 y PMBOK.

1.3.9. ISO 19011:2002

La ISO 19011:2002 (ISO, 2002) indica el siguiente diagrama de flujo del proceso para la Gestin de un Programa de Auditora (Directrices para la auditora de los sistemas de gestin de calidad y/o ambiental):

Figura 1-5 ISO (2002). Diagrama de flujo del proceso para la Gestin de un Programa de Auditora

38

Como se puede observar en la figura 1.7, el flujo del proceso es similar a lo que se presenta en auditoras en el sector privado como en el sector gubernamental. Dentro de este esquema, se enmarcan tambin las auditoras de la gestin de tecnologa de informacin, de manera genrica, tomando como referencias aisladas los objetivos de control especificados en los estndares internacionales de calidad y las normas de control interno especficas, ya sean de la propia institucin o aplicables por organismos supervisores.

1.3.10. MoProSoft 1.3

MoProSoft 1.3 (Otkaba et al., 2005) incluye parmetros bajo el enfoque de procesos para la gestin de proyectos de software. MoProSoft tiene aspectos relacionados con ISO 9001:2000, CMM v.1.1, e ISO/IEC TR 15504-2:1998.

Las categoras de procesos de MoProSoft 1.3 incluyen:

A. Gestin del Negocio. Otkaba et al. (2005) indicaron que el proceso de Gestin de Negocio se compone de la planificacin estratgica, la preparacin para la realizacin de la estrategia, y la valoracin y mejora continua de la organizacin.

B. Gestin de Procesos. Otkaba et al. (2005) explicaron que el proceso de Gestin de Procesos se compone de las siguientes actividades: la planificacin de procesos, la preparacin a la implantacin, y la evaluacin y control de procesos.

C. Gestin de proyectos. Otkaba et al. (2005) indicaron que la Gestin de Proyectos se ocupa de los proyectos externos, internos y de las oportunidades de proyectos de la organizacin.

D. Gestin de recursos. Otkaba et al. (2005) explicaron que el proceso de Gestin de Recursos se compone de las siguientes actividades: la planificacin, seguimiento y control de recursos, e investigacin de tendencias tecnolgicas, apoyadas con tres subprocesos: (a) Recursos Humanos y Ambiente de Trabajo, (b) Bienes, Servicios e Infraestructura, y (c) Conocimiento de la Organizacin.

39

E. Administracin de proyectos especficos. Otkaba et al. (2005) explicaron que la Administracin de Proyectos Especficos aplica conocimientos, habilidades, tcnicas y herramientas, a cada una de las siguientes actividades del proyecto: planificacin y realizacin.

F. Desarrollo y mantenimiento de software. Otkaba et al. (2005) indicaron que El proceso de Desarrollo y Mantenimiento de Software se compone de uno o ms ciclos de desarrollo. Cada ciclo est compuesto de las siguientes fases: inicio, requerimientos, anlisis y diseo, construccin, integracin y pruebas, y cierre.

MoProSoft 1.3 no nos proporciona una metodologa para la auditora integral de la gestin de tecnologas de informacin, siendo su enfoque basado principalmente en procesos de desarrollo de sistemas de informacin.

1.3.11. Modelo de un Sistema de Gestin de Calidad basado en Procesos

El Modelo de un Sistema de Gestin de Calidad basado en procesos de la norma ISO 9001:2000 Sistemas de Gestin de la Calidad: Requisitos (ISO, 2000), se muestra en la siguiente figura:

Figura 1-6 ISO (2000). Modelo de un Sistema de Gestin de Calidad basado en procesos

40

Como se observa en la figura, la norma indica las entradas (Requisitos de Clientes), las salidas (la satisfaccin de los clientes a travs de los productos), as como el proceso (responsabilidad de la direccin; gestin de los recursos; realizacin del producto; y medicin, anlisis y mejora).

1.4.

DESCRIPCIN Y SUSTENTACIN DE LA SOLUCIN

En la NTP-ISO/IEC 12207:2006 (INDECOPI, 2006) se explica algunos requisitos previos y tareas a ser desarrolladas para la ejecucin de una auditora. Entre los requisitos previos se describe lo siguiente: (a) establecimiento de hitos para la realizacin de auditoras; (b) el personal auditor no debera tener responsabilidad directa sobre lo auditado; (c) acuerdos sobre los recursos necesarios para la auditora; (d) agenda, procedimientos, y criterios de entrada y salida; (e) registro de problemas detectados durante la auditora; (f) documentacin y comunicacin de resultados a la parte auditada; y (g) acuerdos sobre resultados y responsabilidades sobre cualquier problema encontrado. Entre las tareas a realizar en la auditora, se indica que se debera asegurar lo siguiente: (a) la codificacin de los productos software refleja la documentacin del diseo; (b) los requerimientos prescritos por la documentacin de las revisiones de aceptacin y pruebas, son los adecuados para la aceptacin de los productos software; (c) los datos de las pruebas cumplen con la especificacin; (d) los productos software han sido adecuadamente probados y cumplen sus especificaciones; (e) los informes de pruebas son correctos y las discrepancias entre los resultados reales y los esperados se han resuelto; (f) la documentacin de usuario cumple con las normas especificadas; (g) las actividades se han llevado a cabo de acuerdo con los requerimientos aplicables, planes y contrato; y (h) los costos y plazos se adhieren a los planes establecidos.

Adems, segn la NTP-ISO/IEC 12207:2006 (INDECOPI, 2006), como resultado de la implementacin exitosa del proceso de auditora, se tendra lo siguiente: (a) desarrollo y ejecucin de una estrategia de auditora; (b) determinacin de la conformidad de productos y/o servicios o procesos de trabajo de software relacionados con los requerimientos, planes y acuerdos segn la estrategia de la auditora; (c) conduccin de la auditora por una parte independiente apropiada; (d) identificacin de problemas durante una auditora, y (e) comunicacin a los responsables para la resolucin y accin correctiva.

41

En la NTP-ISO/IEC 17799:2007 (INDECOPI, 2007), se indica que se deberan establecer controles para salvaguardar los sistemas operativos y las herramientas de auditora durante las auditoras del sistema, y que se debe evitar el mal uso de las herramientas de auditora. En la NTP-ISO/IEC 17799:2007 en la seccin 15.3 se detalla adems, una serie de consideraciones con respecto a los controles y a la proteccin de las herramientas de auditora de sistemas. En el sitio web de ISACA se puede observar lineamientos, estndares y algunos procedimientos de auditora enfocados a aspectos tcnicos.

Como se puede observar, los estndares IEEE 1058:1998, ISO/IEC 12207, e ISO/IEC 17799, y la organizacin ISACA nos dan una serie de criterios a tener en cuenta para la auditora de la gestin de tecnologa de informacin; pero, no nos dan procedimientos enmarcados en una metodologa que permita auditar de manera integral la gestin de la tecnologa de informacin, alineada al logro de objetivos estratgicos organizacionales. Si no se tiene una metodologa integral, no se puede llegar a un anlisis profundo que nos permita encontrar las causas de los problemas y por ende, nos permita realizar un diagnstico que realmente sirva para realizar una planificacin estratgica de tecnologa de informacin alineada a la planificacin estratgica organizacional, y las auditoras podran verse limitadas a la evaluacin de decenas o cientos de aspectos aislados cuya solucin realmente no beneficiara de la mejor manera a la organizacin. Por lo expuesto, en la revisin de literatura realizada, no se ha encontrado una metodologa similar, orientada a la auditora de la gestin integral de la tecnologa de informacin en una organizacin, con la excepcin del uso del proceso general de auditora de la ISO 19011:2002 o similares, teniendo en cuenta los objetivos de control de las normas

gubernamentales o los estndares internacionales de calidad relacionados a la gestin de tecnologa de informacin.

MAIGTI enlazar los diversos conceptos de las buenas prcticas del gobierno corporativo de la gestin de las tecnologas de informacin (COBIT Control Objectives for Information and related Technologies de ISACA Information Systems Audit and Control Association), la gestin de los procesos del ciclo de vida de desarrollo de software (ISO/IEC 12207), las buenas prcticas de la gestin de la seguridad de la informacin (ISO/IEC 17799), la gestin de servicios de tecnologa de informacin (ISO/IEC 20000 o ITIL, Information Technology Infrastructure Library), as como la gestin de proyectos del Project Management Institute (PMBOK Project Management Body Of Knowledge), sobre la base de una 42

simplificacin del proceso general de auditora descrito en la norma ISO 19011:2002, y sobre la base de una adaptacin del esquema de procesos de la ISO 9001:2000 (ISO, 2000). Se usarn estos estndares por las siguientes razones:

a) COBIT da un marco para la evaluacin basado en el ciclo de calidad de Deming (Plan, Do, Check, Act).

b) Los estndares ISO/IEC 12207, ISO/IEC 17799 e ISO/IEC 20000, se complementan entre s, no existiendo cruces entre ellos, sino interrelaciones muy tiles.

c) Si bien PMBOK no es un estndar propio de tecnologa de informacin, contiene una serie de aspectos muy importantes con respecto a la gestin de proyectos alineados a la estrategia organizacional, adems de complementar algunos aspectos de las normas citadas previamente, y hacer referencia a metodologas de gestin de proyectos en relacin a tiempo y costos, entre otros aspectos, que son muy tiles para la gestin de proyectos de tecnologa de informacin.

d) La existencia de estndares es tan diversa, que se hace necesario una metodologa unificada para que la auditora pueda estandarizarse.

1.5.

PLAN DEL PROYECTO

Las tareas realizadas como parte de la presente tesis fueron las siguientes:

A. Recopilacin de la bibliografa relacionada con los estndares de calidad internacionales: COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 PMBOK. y

B. Elaboracin de la metodologa para la auditora integral de la gestin informtica.

C. Aplicacin de la metodologa para la auditora integral de la gestin informtica en dos empresas de seguros.

43

D. Afinamiento de la metodologa.

E. Aplicacin de la metodologa afinada.

F. Evaluacin de los resultados. Se evalu el impacto resultante de la aplicacin de la metodologa para la auditora integral de la gestin informtica en las dos empresas de seguros.

La metodologa fue elaborada y aplicada por el autor de la tesis, siendo el nico auditor encargado de realizarla directamente, en las dos empresas de seguros mencionadas.

44

2.
2.1.

DESARROLLO DE LA METODOLOGA
PROCESO DE DESARROLLO DE LA METODOLOGA

El proceso seguido para el desarrollo de la metodologa fue el siguiente:

A. Para cada una de las reas temticas del COBIT (Planificacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte, y Monitoreo y Control), se revis los diversos objetivos de control propios del COBIT, y luego se revis los objetivos de control del PMBOK, ISO/IEC 12207, ISO/IEC 17799 e ISO/IEC 20000, que pudieran complementarlos.

B. Luego, aplicando el procedimiento general de una auditora de la ISO 19011:2002, se enlazaron al mismo, las evaluaciones de los diversos objetivos de control identificados, bajo la perspectiva del ciclo de Deming (Plan, Do, Check, Act), dentro del marco referencial de las reas temticas de COBIT.

C. Finalmente, se determinaron y se elaboraron los procedimientos que deberan ser enlazados al proceso general para la auditora de la gestin informtica, los cuales a su vez comprendieron la evaluacin de diversos conjuntos de objetivos de control cuya agrupacin facilita el seguimiento, control y/o supervisin.

2.2.

ARQUITECTURA DE LA METODOLOGA

El siguiente grfico, expresa la estructura de MAIGTI (metodologa propuesta para la auditora integral de la gestin informtica):

45

ISO 200000

PLANIFICACIN Y ORGANIZACIN

ADQUISICIN E IMPLEMENTACIN

ENTREGA DE SERVICIOS Y SOPORTE

MONITOREO Y CONTROL

COBIT
PROCESO GENERAL DE AUDITORA
Figura 2-1 Estructura de MAIGTI - Metodologa para la Auditora Integral de la Gestin de la Tecnologa de Informacin

La figura 2.1 representa la estructura de objetivos de control que compone la metodologa propuesta, la cual a su vez est enmarcada en el modelo de procesos, sobre la base del proceso general de auditora de la ISO 19011:2002, como se ve en la figura 2.2.

La metodologa resultante en la figura 2.2, comprende los siguientes elementos: objetivo (la finalidad de la auditora), alcance (detalle de lo que est incluido y lo que no est incluido como parte de la auditora), entradas (requerimientos de informacin), proceso de MAIGTI (evaluaciones a realizar) y salidas (papeles de trabajo e informe de auditora). Asimismo, cada uno de los procedimientos para la evaluacin de los principales objetivos de control dentro de los procesos 5.1, 5.2, 5.3 y 5.4, comprende la siguiente estructura: objetivo (la finalidad del procedimiento de auditora), alcance (detalle de lo que est incluido y lo que no est incluido como parte de la auditora a realizarse a travs del procedimiento), entradas (requerimientos de informacin para ejecutar el procedimiento de auditora), proceso (detalle de los pasos a seguir en el procedimiento de auditora), salidas (hallazgos evidenciados como resultado de la ejecucin del proceso). En los procedimientos descritos en el anexo 1, se ha detallado como salidas, algunos hallazgos posibles que se derivan como resultado de la experiencia de las aplicaciones de MAIGTI en auditoras realizadas por el autor de la tesis.

ISO 200000

ISO 200000

ISO 200000

ISO 12207

ISO 17799

ISO 12207

ISO 17799

ISO 12207

ISO 17799

ISO 12207

ISO 17799

PMBOK

PMBOK

PMBOK

PMBOK

46

3. SOLICITAR LA INFORMACIN

2. ESPECIFICAR EL ALCANCE Y ELABORAR PLAN DE TRABAJO (P062)

1. DETERMINAR EL OBJETIVO a. Papeles Trabajo b. Informe - Introduccin - Objetivo - Alcance - Procedimientos - Tcnicas - Evaluacin - Opinin SALIDAS

5. EJECUTAR EL PROCESO MAIGTI 4. RECIBIR LA INFORMACIN, ORDENARLA E INGRESARLA AL PROCESO MAIGTI 5.1 EVALUAR DOCS PLANIFICACIN Y ORGANIZACIN

ENTRADAS -Informes auditora anteriores - Planes - Evaluacin de Riesgos - Organizacin - Metodologas - Contratos - Actas - Reportes - Sistemas de Inf. - Manuales, etc.

5.2 EVALUAR DOCS ADQUISICIN E IMPLEMENTACIN

5.4 EVALUAR DOCS MONITOREO Y CONTROL

5.3 EVALUAR DOCS ENTREGA DE SERVICIOS Y SOPORTE 5.5 EJECUTAR PROCEDIMIENTOS

6. COMUNICAR, DISCUTIR, Y CORREGIR INFORME (P060)

P052->P059

7. DISTRIBUIR INFORME FINAL (P061)

Figura 2-2 MAIGTI. Metodologa para la Auditora Integral de la Gestin de Tecnologa de Informacin.

Para explicar el enfoque de procesos aplicado para la ejecucin de cada procedimiento, se detallar a continuacin, el procedimiento P029: Procedimiento para la auditora de los contratos para la compra de sistemas de informacin, con su objetivo, alcance, entradas, proceso, y salidas. Luego se mostrar un ejemplo de contrato a auditar y finalmente se mostrar un ejemplo de observacin o hallazgo resultante.

P029: Procedimiento para la auditora de los contratos para la compra de sistemas de informacin

Objetivo

Analizar y evaluar los contratos para las compras de bienes o servicios de sistemas de informacin en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

47

Alcance

El alcance del procedimiento incluye:

A. Revisin de procedimientos relativos a la generacin de contratos para las compras de sistemas de informacin (SI).

B. Revisin fsica de las cotizaciones y evaluaciones previas a los contratos para las compras de SI.

C. Revisin fsica de los contratos para las compras de SI.

D. Anlisis de la generacin de valor de los contratos.

El alcance del procedimiento no incluye:

A. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato.

Entradas

Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin:

A. Procedimientos para la generacin de contratos para la compra de SI. B. Cotizaciones finales para la compra de SI. C. Evaluaciones de las cotizaciones finales para la compra de SI. D. Contratos y adendas de contratos para las compras de SI.

Proceso

Las actividades a realizar para esta auditora son las siguientes:

A. Revisar la informacin indicada en la seccin anterior.

48

B. Revisar los procedimientos relativos a la generacin de contratos para la compra de SI. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de SI.

C. Revisar las cotizaciones y evaluaciones para la compra de SI. Ver procedimiento P026.

D. Revisar los contratos para la compra de SI. Verificar que se solicite como mnimo lo siguiente:

a) Datos bsicos iniciales del contrato: Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. b) Generalidades. c) Objeto del Contrato. d) Especificaciones tcnicas de lo solicitado. e) Metodologa. f) Plan de Trabajo.

g) Entregables y fechas de entrega. h) Niveles de servicio. i) j) Condiciones de hardware mnimas para el funcionamiento del SI. Vigencia del contrato.

k) Costo total y forma de pago. l) Confidencialidad.

m) Garantas. n) Limitaciones. 49

o) Penalidades. p) Jurisdiccin en caso de desacuerdos. q) Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). r) Firmas y sellos de los representantes legales.

E. Analizar la generacin de valor del contrato. Ver procedimiento P059.

Salidas

Al desarrollar esta auditora es comn encontrar las siguientes observaciones:

A. La organizacin no evala varios proveedores al momento de realizar una compra.

B. En los contratos no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, ni se hace referencia a propuestas tcnicas donde se encuentre ese detalle.

C. No se hace contratos para la compra de SI.

D. Se determina que gana el contrato, una propuesta para la compra de SI que no fue ponderada como ganadora.

E. No se incluye clusulas que permitan a la organizacin, tener una proteccin ante la quiebra o retiro del mercado del proveedor; por ejemplo, pudiendo acceder al cdigo fuente de su aplicacin y a toda la documentacin tcnica en caso suceda la quiebra o retiro del mercado del proveedor.

A continuacin se mostrar el ejemplo de contrato a auditar:

50

CONTRATO N 124-2006-EL PROVEEDOR

Conste por el presente documento, el contrato se desarrollo de sistemas de informacin de la empresa CLIENTE DE DESARROLLO DE SISTEMAS DE INFORMACIN, debidamente representada por su Gerente General, el Sr. Juan Prez Garca, identificado con DNI 12345678, a quien en adelante se le llamar EL CLIENTE, con la EMPRESA PROVEEDORA DE DESARROLLO DE SISTEMAS DE INFORMACIN, debidamente representada por su Gerente General, el Sr. Carlos Luna Mendoza, identificado con DNI 87654321, a quien en adelante se le llamar EL PROVEEDOR, ambas empresas inscritas en el Registro de Personas Jurdicas de Lima y Callao.

CLUSULA 1: OBJETO DEL CONTRATO

Desarrollar un sistema de informacin que cubra las transacciones de la empresa para los procesos administrativo-financieros para EL CLIENTE, por parte de EL PROVEEDOR.

CLUSULA 2: ALCANCE DEL SERVICIO

El sistema administrativo financiero a desarrollar abarcar los procesos siguientes:

a) Tesorera: caja, bancos, cuentas por cobrar y cuentas por pagar. b) Presupuestos: presupuesto de ingresos y presupuesto de egresos. c) Contabilidad: registro de libros contables y emisin de estados financieros. d) Recursos Humanos: registro de datos de trabajadores, as como el pago de planillas de personal obrero, personal empleado y funcionarios. e) Reportes.

CLUSULA 3: TIEMPO DEL SERVICIO

El sistema se deber desarrollar en 4 meses, y tendr las siguientes etapas: (a) anlisis y diseo, (b) programacin, y (c) instalacin y puesta en marcha.

51

CLUSULA 4: INVERSIN Y FORMA DE PAGO

La inversin por el servicio asciende a US$ 50,000 y ser abonado de la siguiente manera:

a) 20% a la firma del contrato. b) 20% al terminar la etapa de anlisis y diseo. c) 30% al terminar la etapa de programacin. d) 30% cuando el sistema est instalado en las computadoras de los usuarios.

Las partes firman en seal de conformidad con las clusulas del presente contrato, a los 20 das del mes de Julio del 2006.

_____________________________ EL CLIENTE

__________________________ EL PROVEEDOR

Luego de la aplicacin del procedimiento, la redaccin del hallazgo sera como se muestra a continuacin:

El contrato para la compra del desarrollo del sistema administrativo financiero, no est elaborado adecuadamente

El contrato para la compra del desarrollo del sistema de informacin administrativo financiero, celebrado con la EMPRESA PROVEEDORA DE DESARROLLO DE SISTEMAS DE INFORMACIN, presenta las siguientes deficiencias:

A. Falta completar datos bsicos del contrato: a) b) Datos del Contratante: falta direccin y RUC. Datos del Representante Legal del Contratante: falta nmero de partida electrnica de la inscripcin de poder en registros pblicos. c) d) Datos del Contratado: falta direccin y RUC. Datos del Representante Legal del Contratado: falta nmero de partida de la inscripcin de poder en registros pblicos. B. Falta seccin que explique caractersticas generales de las partes del contrato.

52

C. Las especificaciones tcnicas del sistema administrativo financiero a desarrollar son insuficientes para asegurar una adecuada calidad del servicio. D. No se ha desarrollado clusulas o anexos al contrato, que especifiquen lo siguiente: Metodologa, Plan de Trabajo, Entregables y fechas de entrega, Niveles de servicio, Condiciones de hardware mnimas para el funcionamiento del sistema de informacin, Confidencialidad de la Informacin, Garantas, Limitaciones, Penalidades, Jurisdiccin en caso de desacuerdos, ni Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). E. No tiene firmas ni sellos de los gerentes generales.

Se ha incurrido a la fecha en costos adicionales de US$ 40,000 sin que el sistema de informacin est instalado en los usuarios, y sin que se tenga una planificacin del tiempo acordada con el proveedor, dados los adicionales.

La causa de lo ocurrido es la inexistencia de un contrato tipo ni un procedimiento para la elaboracin de contratos de compra de desarrollos de sistemas de informacin.

El efecto ha sido que no se tenga claras las condiciones con el proveedor y haya entregado el software desarrollado sin haberse integrado con el resto de aplicaciones ni migrado los datos del sistema anterior, dado que no estaba especificado en el contrato y en ningn documento consta en requerimiento ni el compromiso del proveedor para realizarlo. Esto ha provocado costos adicionales en el orden de los US$ 40,000 como se ha manifestado y se espera que tenga mayores costos adicionales, en el orden de los US$ 30,000.

El riesgo para la organizacin es que el sistema administrativo financiero salga a produccin sin las debidas especificaciones de calidad, dado que no se ha comprometido al proveedor para que cumpla una metodologa de desarrollo de sistemas de informacin que incluya la planificacin y ejecucin de pruebas, as como la planificacin y ejecucin de labores de integracin y migracin de datos, previas a la implantacin del sistema de informacin. Adems, dado que tampoco se ha especificado capacitacin para los usuarios y dado que los usuarios no estn acostumbrados a utilizar este tipo de sistemas, se demoraran mucho ms los registros de transacciones con los consecuentes perjuicios sobre todo para los procesos que estn directamente relacionados a la atencin a los clientes.

53

Se recomienda desarrollar un modelo de contrato y un procedimiento para la celebracin de contratos con los proveedores de desarrollo de sistemas de informacin, para proyectos futuros. Para el proyecto actual, se recomienda hacer que el contrato supere las deficiencias indicadas en la presente observacin cuanto antes, para luego asignar un responsable de la planificacin, ejecucin, seguimiento y control del proyecto. Se recomienda adems que el rea de Auditora Interna le haga seguimiento a la implementacin de estas recomendaciones.

54

3.

DESCRIPCIN DE LA METODOLOGA

A continuacin se describir MAIGTI, considerando como proceso la gestin integral de la tecnologa de informacin en una organizacin. Primero se plantear la metodologa a travs del enfoque basado en procesos teniendo como base el proceso general de auditora (ver figuras 2.1 y 2.2). Luego se har una comparacin de la metodologa MAIGTI con las metodologas existentes.

3.1.

PLANTEAMIENTO DE LA METODOLOGA

A continuacin se explicar los aspectos de los estndares internacionales de la gestin de tecnologa de informacin, que sern utilizados como referencias para los objetivos de control de MAIGTI (en la figura 3.1 se detallarn las interrelaciones de MAIGTI con los 5 estndares internacionales que han servido de base para su construccin):

A. COBIT: Control Objectives for Information and related Technologies. De este estndar se tomar los procesos generales de evaluacin, dado que estn basados en el ciclo de Deming (Plan, Do, Check, Act). Las cuatro grandes reas

55

temticas

del

COBIT

(Planificacin

Organizacin,

Adquisicin

Implementacin, Entrega de Servicios y Soporte, y Monitoreo y Control) (IT Governance Institute, 2006), sern usadas como marco referencial sobre el cual se enlazarn los aspectos de los estndares internacionales de calidad: ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000, y PMBOK.

B. ISO/IEC 12207: Procesos del Ciclo de Vida del Software (INDECOPI, 2004). De este estndar se tomar los objetivos de control para la auditora de los procesos del ciclo de vida del software, enmarcados dentro de la planificacin de proyectos de desarrollo de sistemas de informacin, la ejecucin de los proyectos de desarrollo de sistemas de informacin, as como el monitoreo y control de los mismos. Los procesos especficos de la norma que se tomar en cuenta son los siguientes: adquisicin, desarrollo, mantenimiento, gestin, y recursos humanos.

C. ISO/IEC 17799: Cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin (INDECOPI, 2004). De este estndar se tomar los objetivos de control para los temas relativos a la planificacin de la seguridad de la informacin, el plan de continuidad de negocio, aspectos organizativos de seguridad de la informacin, la entrega de servicios de seguridad lgica, y la entrega de servicios de seguridad fsica.

D. ISO/IEC 20000: Modelo de Gestin de Servicios de Tecnologa de Informacin (Kemmerling & Pondman, 2004). Se introducirn las buenas prcticas de la gestin de servicios de TI como parte integrante de la gestin de la planificacin y organizacin, la adquisicin e implementacin, y la entrega de servicios y soporte de TI, principalmente en lo referente a la definicin de niveles de servicio y control de cambios.

E. PMBOK: Project Management Body Of Knowledge (Project Management Institute, 2004). De este estndar se tomar los grupos de procesos y reas de conocimiento como referencia, de manera que se enmarquen los proyectos dentro de los diversos aspectos: integracin, alcance, tiempo, costo, calidad, recursos humanos, comunicaciones, riesgos, y adquisiciones. Esto aplicar tanto para los proyectos de desarrollo de sistemas de informacin como para los proyectos relacionados a la gestin de infraestructura de tecnologa de informacin. Se incluirn estos conceptos dentro de los marcos referenciales de 56

la Planificacin y Organizacin, Adquisicin e Implementacin, as como Monitoreo y Control.

F. ISO 19011. Se ha tomado como referencia para procedimientos estrictos de auditora, lo indicado en la norma ISO 19011:2002.

En la Figura 3.1 se muestra la relacin de cada procedimiento de MAIGTI con los estndares internacionales de calidad. Cabe resaltar adems, que se ha tomado como referencia, las normas tcnicas peruanas, relacionadas a la seguridad elctrica, NTP 370.052:1999, NTP 370.053:1999, NTP 370.054:1999, y NTP 370.052:1999 (PROCOBRE, 2005). Sera necesario precisar que los temas especficos referidos de estas normas tcnicas peruanas, se deberan adaptar a la normatividad vigente en cada pas para cada tamao o tipo de infraestructura de los locales de las organizaciones, si quisiramos adaptar la metodologa propuesta.

La integracin de los diversos estndares en un todo coordinado tendr ventajas sobre la aplicacin de auditoras teniendo los estndares dispersos, dado que se podrn interrelacionar y encontrar las causas de los problemas de manera ms eficiente y se podr proponer soluciones concretas para que se mejore la generacin de valor de las organizaciones, eliminando o minimizando las causas de los problemas, logrndose as que la mejora de la gestin de la tecnologa de informacin, realmente genere valor de manera rpida e integrada con el Plan Estratgico Organizacional.

Teniendo como base el enfoque basado en procesos (ver figuras 2.1 y 2.2) de MAIGTI, a continuacin se detallar lo siguiente: objetivo, alcance, entradas, proceso y salidas.

57

ESTNDARES INTERNACIONALES DE CALIDAD PROCEDIMIENTO COBIT ISO/IEC 12207 ISO/IEC 17799 ISO/IEC 20000 PMBOK ISO 19011 X X X X X X P001 P002 X X P003 X X P004 X X P005 X X P006 X X X P007 X X X P008 X X X P009 X X X P010 X X X P011 X X X P012 X X X P013 X X X P014 X X X P015 X X X P016 X X X X P017 X X X X P018 X X X X P019 X X X X P020 X X X P021 X X X P022 X X X X P023 X X X X P024 X X X P025 X X X P026 X X X P027 X X X P028 X X X P029 X X X P030 X X P031 X X X X P032 X X X P033 X X X X P034 X X P035 X X P036 X X P037 X X P038 X X P039 X X P040 X X X P041 X X P042 X P043 X P044 X P045 X P046 X X X P047 X X X P048 X X X P049 X X X P050 X X X P051 X X X P052 X P053 X X P054 X X P055 X X P056 X X P057 X X P058 X X P059 X P060 X P061 X P062 X P063 X X

Figura 3-1 Relaciones de los procedimientos de MAIGTI con los estndares internacionales COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000, PMBOK e ISO 19011.

58

3.1.1. OBJETIVO El objetivo de la metodologa es evaluar la gestin de la tecnologa de informacin en una organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos relacionados, teniendo como base los estndares internacionales COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 y PMBOK.

3.1.2. ALCANCE

El alcance de la metodologa comprende:

A. Evaluacin de la Planificacin y Organizacin. Incluye:

a) Revisin de planes diversos: Plan Estratgico de Tecnologa de Informacin, Plan de Contingencias de Informtica, Plan de Continuidad de Negocio, Plan de Capacitacin, Plan de Licenciamiento de Software, Plan de

Mantenimiento Preventivo, Planes de Proyectos, Plan de Seguridad, Plan de Calidad, Plan de Compras, etc.

b) Organizacin del Trabajo: Estructura Organizacional, Recursos Disponibles, Metodologas de Trabajo, Procedimientos, etc.

B. Evaluacin de la Adquisicin e Implementacin. Incluye:

a) Adquisiciones de Tecnologas de Informacin: equipos de cmputo, equipos de red, licencias de software, sistemas de informacin, etc. Se revisan tanto las propuestas alternativas como los contratos y anexos a los contratos.

b) Desarrollos de Tecnologas de Informacin: desarrollo de tecnologas de informacin de base y desarrollo de sistemas de informacin. Se revisa el cumplimiento de la metodologa y la documentacin respectiva.

C. Evaluacin de la Entrega de Servicios y Soporte. Incluye:

a)

Entrega de Servicios de Desarrollo e Implantacin de Sistemas de Informacin. Se verifica la evaluacin de posibles soluciones, lo

59

desarrollado o comprado e implantado, medidas de seguridad y el nivel de satisfaccin de los usuarios con respecto al servicio otorgado.

b)

Entrega de Servicios de Soporte Tcnico e Infraestructura de Tecnologas de Informacin, Hardware y Software de base, as como servicios relacionados.

D. Evaluacin del Monitoreo y Control. Incluye:

a) b) c) d)

Seguimiento de los planes. Evaluacin Interna del Desempeo. Certificaciones o acreditaciones independientes de control y seguridad. Provisin de Auditora Independiente.

Cuando ya se ha determinado el alcance (lo que incluir y lo que no incluir la auditora, como materia de evaluacin), se debera proceder con la elaboracin del Plan de Trabajo de la Auditora. Esto implica ejecutar el procedimiento P062: Procedimiento para la Elaboracin del Plan de Trabajo de la Auditora.

3.1.3. ENTRADAS

Las entradas de informacin de la metodologa estn comprendidas por los documentos que se requiere para iniciar el proceso de auditora. Se requiere los siguientes documentos realizados o vigentes en el perodo en evaluacin, el perodo anterior y los documentos a ser aplicados para los perodos siguientes, para cada uno de los grandes temas de revisin: Planificacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo y Control. Se entiende como perodo, el tiempo de un ao; claro est que el tamao real del perodo depender de la decisin que tome el rea de Auditora Interna, o el Comit Auditor de la Entidad de Auditora Externa u Organismo Regulador que desee hacer la auditora con esta metodologa.

A. Para evaluar la Planificacin y Organizacin se requiere los siguientes documentos:

60

a) b) c) d) e)

Plan Estratgico de la Organizacin. Plan Operativo de la Organizacin. Evaluacin de Riesgos de la Organizacin. Plan Estratgico de Tecnologas de informacin. Plan Operativo de Tecnologas de informacin. Est compuesto por: i. ii. iii. iv. v. vi. vii. Planes de proyectos, tanto a nivel tcnico como a nivel de gestin. Plan de Contingencias de Informtica. Plan de Continuidad de Negocio. Plan de Seguridad de la Informacin. Plan de Licenciamiento de Software. Plan de Capacitacin. Plan de Mantenimiento Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. viii. Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. ix. x. xi. Planificacin de Labores de Rutina. Plan de Calidad. Incluye aseguramiento y control de calidad. Plan de Compras.

f) g) h)

Manual de Organizacin y Funciones. Reglamento de Organizacin y Funciones. Currculum vitae actualizado de todo el personal que cumple funciones relacionadas a las Tecnologas de informacin. Incluye: personal por quinta categora, personal por cuarta categora y personal colocado por proveedores.

B. Para evaluar la Adquisicin e Implementacin se requiere los siguientes documentos:

a) Inventario en unidades y en valores del hardware de tecnologas de informacin. b) Inventario en unidades y en valores del software de base. c) Inventario en unidades y en valores de los intangibles correspondientes a sistemas de informacin, ya sean desarrollados o comprados a terceros. d) Cotizaciones para las compras de software de base (sistemas operativos, administradores de bases de datos, proteccin contra intrusos, proteccin ante correos no deseados, servidores web, servidores para realizar copias de respaldo, software de oficina, servidores de correo, clientes de correo, 61

etc.). Considrese como software de base a todo software que no sea sistema de informacin. e) Cotizaciones para las compras de sistemas de informacin. f) Cotizaciones para las compras de hardware de computadoras, redes y servicios relacionados. g) Contratos de compra de hardware. h) Contratos de compra de todas las licencias de software de base. i) Contratos de compra de todos los sistemas de informacin cuya propiedad intelectual pertenece a proveedores. j) Contratos de seguros relativos a las tecnologas de informacin.

k) Metodologa de Desarrollo de Sistemas de Informacin. l) Metodologa o Procedimiento para la Compra de Hardware.

m) Metodologa o Procedimiento para la Compra de Software de Base. n) Metodologa o Procedimiento para la Compra de Sistemas de Informacin. o) Metodologa para la atencin de requerimientos de Hardware de los usuarios. p) Metodologa para la atencin de requerimientos de Software de Base de los usuarios. q) Metodologa para la atencin de requerimientos de Sistemas de Informacin de los usuarios. r) Manuales Tcnicos de todo el Hardware comprado o construido. s) Manuales Tcnicos de todo el Software de Base comprado o desarrollado. t) Manuales Tcnicos de todos los sistemas de informacin que se usan en la organizacin. Esto incluye tanto los sistemas de informacin hechos a travs de proveedores como desarrollos internos. u) Manuales de Usuario de todo el Hardware comprado o construido. v) Manuales de Usuario de todo el Software de Base comprado o desarrollado. w) Manuales de Usuario de todos los sistemas de informacin que se usan en la organizacin. Esto incluye tanto los sistemas de informacin hechos a travs de proveedores como desarrollos internos.

C. Para evaluar la Entrega de Servicios y Soporte, se requiere los siguientes documentos:

a) Esquema de la Red de la Oficina Principal y las sucursales. b) Listado de accesos de todos los usuarios sobre los sistemas de informacin. c) Listado de accesos de todos los usuarios sobre carpetas de los servidores. 62

d) Detalle de la Arquitectura de la red de tecnologas de la informacin. e) Manuales de Procedimientos. f) Formularios de control de entregables de proyectos y requerimientos.

D. Para evaluar el Monitoreo y Control, se requiere los siguientes documentos:

a) Informes de auditoras internas anteriores. b) Informes de auditoras externas anteriores. c) Certificaciones de calidad. d) Evaluaciones de desempeo del rea responsable de la gestin de tecnologas de informacin. e) Evaluaciones de desempeo del personal. f) Formularios de control de cambios en proyectos.

g) Formularios de control de riesgos en proyectos. h) Formularios de seguimiento de avances de proyectos. i) Actas y formularios de seguimiento y verificacin de labores de desarrollo de sistemas de informacin: solicitud de requerimientos, aprobacin de requerimientos, formularios de conformidad de servicio, etc. j) Actas de seguimiento y verificacin de las labores de soporte tcnico.

3.1.4. PROCESO

La siguiente grfica resume el Proceso MAIGTI, identificando sus subprocesos con los procedimientos asociados:

63

5. EJECUTAR EL PROCESO MAIGTI 4. RECIBIR LA INFORMACIN, ORDENARLA E INGRESARLA AL PROCESO MAIGTI

P002->P020 5.1 EVALUAR DOCS PLANIFICACIN Y ORGANIZACIN

ENTRADAS - Documentos Planificacin y Organizacin. - Documentos Adquisicin e Implementacin. - Documentos Entrega de Servicios y Soporte. - Documentos Monitoreo y Control.

5.2 EVALUAR DOCS ADQUISICIN E IMPLEMENTACIN

5.4 EVALUAR DOCS MONITOREO Y CONTROL P042->P051

P021->P035

5.3 EVALUAR DOCS ENTREGA DE SERVICIOS Y SOPORTE P036->P041 5.5 EJECUTAR PROCEDIMIENTOS

a. Papeles Trabajo b. Informe - Introduccin - Objetivo - Alcance - Procedimientos - Tcnicas - Evaluacin Para cada gerencia: Para cada hallazgo: - Enunciado - Descripcin - Causa - Efecto - Riesgo - Recomendacin - Opinin SALIDAS

P052->P059

Figura 3-2 El Proceso MAIGTI

Las actividades que comprenden el Proceso MAIGTI, son las siguientes:

A. Solicitar la documentacin requerida. Para esta labor, la Gerencia de Auditora Interna o el Supervisor del Equipo de Auditora asignado, har los requerimientos de informacin indicados en la seccin 3.1.3 del presente documento al rea que realice la Gestin de la Tecnologa de Informacin. Esta actividad debe realizarse por lo menos con 15 das de anticipacin a la fecha programada para la revisin de los documentos.

B. Evaluar los documentos recibidos. Los documentos recibidos debern ser revisados de acuerdo a cada caso en el orden siguiente:

a) b)

Evaluar los documentos del perodo anterior al perodo en evaluacin. Evaluar los documentos del perodo en evaluacin.

64

c)

Evaluar los documentos a ser aplicados para el perodo siguiente al perodo en evaluacin.

Para revisar los documentos de cada perodo se debe proceder en el orden siguiente:

a) Evaluar los documentos de Planificacin y Organizacin. Esto implica ejecutar los procedimientos P002 al P020, del anexo 1. b) Evaluar los documentos de Adquisicin e Implementacin. Esto implica ejecutar los procedimientos P021 al P035, del anexo 1. c) Evaluar los documentos de Entrega de Servicios y Soporte. Esto implica ejecutar los procedimientos P036 al P041, del anexo 1. d) Evaluar los documentos de Monitoreo y Control. Esto implica ejecutar los procedimientos P042 al P051, del anexo 1.

C. Entrevistar de manera presencial a los usuarios de diversas reas de la empresa, incluyendo personal con rango gerencial y personal sin rango gerencial. Esto implica ejecutar el procedimiento P052 del anexo 1.

D. Entrevistar y realizar verificaciones presenciales con personal que realiza labores relacionadas con la gestin de la infraestructura de tecnologas de Informacin.

a) Obtener la lista de correos, telfonos, anexos y cargos de las personas que trabajan en la gestin de la infraestructura de tecnologas de informacin.

b) Visitar y revisar las instalaciones de la red elctrica. Esto implica ejecutar el procedimiento P053 del anexo 1.

c) Visitar y revisar la seguridad de acceso al centro de cmputo principal. Esto implica ejecutar el procedimiento P054 del anexo 1.

d) Visitar y revisar las instalaciones del centro de cmputo principal. Esto implica ejecutar el procedimiento P055 del anexo 1.

e) Visitar y revisar la seguridad de acceso al centro de cmputo alterno. Esto implica ejecutar el procedimiento P056 del anexo 1. 65

f)

Visitar y revisar las instalaciones del centro de cmputo alterno. Esto implica ejecutar el procedimiento P057 del anexo 1.

g) Revisar el cableado de redes de datos. Revisar ubicacin de switches o hubs, as como las condiciones del cableado coaxial, UTP o fibra ptica. Esto implica ejecutar el procedimiento P058 del anexo 1.

E. Entrevistar y realizar verificaciones presenciales con personal que realiza labores relacionadas con la gestin del desarrollo de sistemas de informacin.

F. Obtener la lista de correos, telfonos, anexos y cargos de las personas que trabajan en la gestin del desarrollo de sistemas de informacin.

G. Entrevistar al personal que dirige los proyectos y al personal que realiza los desarrollos de sistemas de informacin. Esto implica ejecutar el procedimiento P059 del anexo 1.

H. Elaborar el Informe Preliminar. Esto implica ejecutar el procedimiento P060 del anexo 1.

I.

Revisar el Informe Preliminar.

a)

Verificar que el informe tenga los puntos que exige el organismo regulador o la casa matriz, en caso exista un formato estndar.

b) c) d) e)

Verificar que se haya cumplido el procedimiento. Verificar la redaccin del informe. Verificar la ortografa del informe. Solicitar entrevistas con el personal que realiza la Gerencia de Tecnologa de Informacin para verificar que las observaciones sean correctas.

J. Corregir el Informe Preliminar y lograr el Informe Final.

K. Enviar, Sustentar y Corregir el Informe Final. Esto implica ejecutar el procedimiento P061 del anexo 1.

66

3.1.5. SALIDAS

Las salidas de MAIGTI son las siguientes:

A. Papeles de Trabajo.

B. Informe Final de Auditora de la Gestin de la Tecnologa de Informacin. Este informe comprender la siguiente estructura:

a) b) c) d) e) f)

Introduccin Objetivo Alcance Procedimientos de auditora Tcnicas de auditora Evaluacin Para cada Gerencia que resulte responsable Para cada hallazgo La estructura ser la siguiente: - Enunciado - Descripcin - Causa - Efecto - Riesgo - Recomendaciones - Comentario de la Gerencia

g)

Opinin.

La cantidad de hallazgos posibles durante el desarrollo de la metodologa es muy grande. Probablemente encontraremos la ausencia de documentacin de los planes, metodologas de desarrollo, informacin sobre requerimientos de los proyectos, manuales de procedimientos, manuales tcnicos y manuales de usuario de los sistemas de informacin. En los casos en que se encuentran los planes, comnmente no tienen un detalle suficiente para realizar el seguimiento de manera directa, dejndose muchos vacos de temas no definidos que hacen que los proyectos se retrasen mucho ms.

67

Adems, comnmente se observa la falta de satisfaccin del usuario por los servicios de desarrollo de sistemas y soporte tcnico. Esta falta de satisfaccin se debe principalmente a la falta de velocidad en la atencin de los requerimientos o que los requerimientos nunca fueron atendidos. Tambin se observa el continuo gasto excesivo en proyectos que no se definieron bien, no se probaron bien y que finalmente demoraron y costaron mucho ms de lo esperado.

En los procedimientos referenciados en la seccin 3.1.4, y que se encuentran en el anexo 1, se podr observar las salidas especficas para cada evaluacin de los diversos objetivos de control tomado sobre la base de los estndares internacionales que conforman la base de la metodologa. Las salidas enunciadas en cada procedimiento han sido recopiladas de las experiencias del autor de la tesis desarrollando auditoras informticas en diversas entidades del Estado y privadas.

3.2.

COMPARACIN CON METODOLOGAS EXISTENTES

Como se ha explicado en la Seccin 1.4, en la revisin de literatura realizada, no se ha encontrado una metodologa similar a MAIGTI, con la excepcin del uso del proceso general de auditora indicado en la ISO 19011:2002 (ISO, 2002) teniendo en cuenta los objetivos de control de las normas gubernamentales o los estndares internacionales de calidad relacionados a la gestin de tecnologa de informacin.

Adems, como se ha indicado en la seccin 2.2, MAIGTI es similar al proceso general de la auditora, dado que est basada en ese proceso (ver figura 2.2); sin embargo, de la experiencia de la aplicacin de MAIGTI, la integracin de los diversos estndares internacionales mencionados (ver figura 2.1), magnifica el impacto positivo en la evaluacin de la gestin de la tecnologa de informacin, a diferencia de las referencias incompletas de objetivos de control mencionados en normas (dado que son cientos de objetivos de control), lo cual comnmente hace que no se logre esa visin integral que se requiere para un adecuado diagnstico de la gestin informtica.

68

Las ventajas de la aplicacin de MAIGTI (en comparacin con el proceso general de auditora indicado en la ISO 19011:2002) son las siguientes:

A. Reduce la subjetividad al momento de determinar las observaciones a la gestin de las tecnologas de informacin, dado que se tienen listas de verificacin concretas, las cuales no son tan dispersas o no se presentan en tanta cantidad como los objetivos de control de los estndares internacionales de la gestin de la tecnologa de informacin.

B. Permite identificar claramente las causas de los problemas relacionados a la gestin informtica, dado que se puede analizar las interrelaciones de los diversos entes involucrados.

C. Permite cuantificar los impactos de los problemas y sus causas, as como cuantificar los riesgos asociados a las ineficiencias en la gestin de las tecnologas de informacin.

D. Dado que se enfoca en identificar las causas de manera ms precisa, se puede realizar un adecuado diagnstico y recomendaciones concretas para que se eliminen o mitiguen las causas.

E. Luego de su aplicacin, la gerencia de las tecnologas de informacin, se enfoca mejor hacia los puntos que requieren su atencin, buscndose el mejor impacto en la generacin de valor de la organizacin.

Las desventajas de la aplicacin de MAIGTI (en comparacin con el proceso general de auditora indicado en la ISO 19011:2002) son las siguientes:

A. Al inicio trae conflictos con las reas auditadas (las reas de Informtica), dado que se evala con estndares internacionales y se percibe como injusta, dado que no se les mide a todos los gerentes con la misma forma de evaluacin. Esto sucede con mayor nfasis cuando las organizaciones no tienen procesos formales de planificacin estratgica (formulacin, implementacin y

evaluacin), y por lo tanto es lgico que se perciba como injusto que a un gerente de informtica se le evale por no planificar estratgicamente sus actividades si no se tiene estrategias de marketing, ventas, operaciones, 69

finanzas, etc., claramente definidas; adems, las otras reas (reas usuarias de tecnologa de informacin), tienen menor nivel de planificacin de actividades que las reas de informtica, dada la menor complejidad de algunas reas usuarias.

B. Su aplicacin es cara, dado que requiere personal con competencias en lo referente a gerencia (personal que haya tenido la experiencia de ser gerente), y procesos relacionados a la gestin informtica intrnseca (experiencia administrando o realizando labores de desarrollo de sistemas de informacin y/o soporte tcnico), adems de conocimientos sobre procesos de sistemas de gestin y estndares internacionales de la calidad.

C. Su aplicacin tomara ms tiempo que la metodologa existente (proceso general de la auditora que referencia objetivos de control aislados), dado que la misma es incompleta (si quisiramos evaluar la gestin integral de la tecnologa de informacin en una organizacin) sin los objetivos de control de los diversos estndares internacionales juntos, ocasionndose que se revisen de manera no optimizada, los objetivos de control comunes entre ellos.

70

4.
4.1.

PRUEBA DE LA METODOLOGA
ESTRATEGIA DE PRUEBAS

La aplicacin de MAIGTI se realiz en 2 empresas de seguros (estn entre las ms importantes del Per), en los aos 2006, 2007 y 2008, con un alcance a nivel nacional. Estas empresas tienen diversidad de plataformas tecnolgicas y la suficiente complejidad en sus procesos y recursos, para poder apreciar con detalle la aplicacin de los diversos puntos que comprenden la metodologa. Cabe resaltar que esta metodologa tambin se ha aplicado de manera parcial (dada la menor complejidad de sus reas de tecnologa de informacin) a las auditoras informticas realizadas por el autor de la tesis en las siguientes organizaciones: dos institutos de investigacin del Estado Peruano, dos municipalidades, una empresa de envo y recepcin de dinero, una empresa de generacin elctrica, y una empresa de produccin y comercializacin de combustibles. Tambin ha sido aplicada parcialmente (en lo referente a planificacin), a una auditora de una estrategia nacional multisectorial, de una oficina nacional del Estado Peruano.

La Estrategia de Pruebas de MAIGTI fue la siguiente:

A. En el primer trimestre del 2006, se desarrollaron los 63 procedimientos incluidos en MAIGTI. Luego en el segundo trimestre del 2006, los procedimientos 71

desarrollados se aplicaron a la auditora de la gestin de tecnologa de informacin en 2 empresas de seguros. Los tiempos se cumplieron conforme a lo previsto (3 meses).

B. Durante la ejecucin de los procedimientos, se fueron identificando una serie de errores en redaccin y formato. Asimismo, se fueron identificando algunos elementos que hacan falta en las listas de verificacin, principalmente en lo referente al Plan de Seguridad de la Informacin.

C. Luego de la ejecucin de los procedimientos en las 2 empresas de seguros (durante el segundo trimestre del 2006), se tom nota de los hallazgos y se agreg a las secciones de hallazgos posibles.

D. Durante el tercer trimestre del 2006, se fueron complementando los aspectos relacionados al Plan de Seguridad de la Informacin (aspectos de seguridad lgica y fsica), con la informacin gratuita publicada en el sitio web de ISACA (ISACA, 2006).

E. Durante el cuarto trimestre del 2006 se corrigi la redaccin, formato y seccin de hallazgos posibles, de todos los procedimientos incluidos en MAIGTI.

F. Durante los aos 2007 y 2008, se sigui mejorando la redaccin de los procedimientos y las secciones de hallazgos posibles, considerando los hallazgos encontrados en otras auditoras realizadas por el autor de la tesis en las 2 empresas de seguros y en las otras 6 entidades indicadas al inicio de esta seccin.

4.2.

ANLISIS DE RESULTADOS

Como resultado de la experiencia de la aplicacin de MAIGTI, se deduce que es aplicable a cualquier tipo de organizacin usuaria de tecnologas de informacin, ya sea grande, mediana, o pequea, en cualquier sector econmico. MAIGTI no ha sido probada en organizaciones proveedoras de servicios informticos como: empresas proveedoras de outsourcing integral de la gestin informtica, empresas

72

proveedoras de servicios de aplicaciones (Application Services Providers), empresas de desarrollo de software, etc.

Los resultados de la aplicacin de la metodologa fueron los siguientes:

A. Se identificaron los diversos problemas y sus causas, de manera integral. B. Se identificaron los riesgos potenciales y se cuantific su impacto. C. Se pudo hacer un diagnstico preciso de la realidad y recomendaciones concretas para mejorar la gestin informtica de ambas organizaciones. D. Se pudo contribuir a la mejora de los resultados financieros de ambas empresas, dado que se contribuy a la solucin de problemas en procesos y proyectos crticos que tenan impacto en clientes externos y clientes internos.

73

5.

OBSERVACIONES, CONCLUSIONES Y

RECOMENDACIONES
5.1. OBSERVACIONES

Las observaciones principales a la metodologa se muestran a continuacin:

A. Es vital que se realice un trabajo muy intenso para que se pueda convencer a las organizaciones para la adopcin de MAIGTI, dado que comnmente las organizaciones no tienen una gestin de tecnologa de informacin alineada a estndares internacionales.

B. La aplicacin de la metodologa podra convertirnos a los auditores informticos en personas mucho menos populares, dado que al inicio debido a la inadecuada cultura de calidad de muchas organizaciones en pases en vas de desarrollo, podran tomar las observaciones como si se tratara de un tema personal, teniendo en cuenta adems, que al resto de reas de la organizacin no se les evala con el mismo rigor.

C. Se requiere personal muy capacitado (con experiencia gerencial en los diversos tipos de procesos o proyectos de tecnologa de informacin, o por lo menos con

74

experiencia en la ejecucin de los mismos y con conocimiento de sistemas de gestin de calidad) para aplicar la metodologa. Si no se consigue el personal correcto, podra caerse en subjetividades que distorsionaran los objetivos y los posibles beneficios de la aplicacin de la metodologa.

D. Difcilmente las reas de Informtica auditadas van a querer aceptar que se les califique con un sistema de evaluacin ms riguroso; sin embargo, en el caso de las reas de Informtica, es vital que esto se realice dado que integra las diversas operaciones del negocio, y si no se mejora significativamente su gestin, no se podran lograr los objetivos organizacionales en el largo plazo.

5.2.

CONCLUSIONES

Las conclusiones de la presente tesis son las siguientes:

A. Se ha logrado una metodologa para la auditora integral de la gestin de tecnologa de informacin con las siguientes caractersticas:

a) Tiene en cuenta los principales objetivos de control de los estndares internacionales para la gestin de tecnologa de informacin: COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000, as como el estndar internacional para la gestin de proyectos (PMBOK) y el estndar de ISO para los procesos de auditora (ISO 19011). b) Est basada en un enfoque de procesos. c) Evala el ciclo de Calidad de la Gestin: Planificar, Hacer, Evaluar y Actuar (Ciclo de Deming: Plan, Do, Check, Act).

B. La decisin de aplicar estndares internacionales de calidad para la auditora de la gestin de tecnologa de informacin, puede partir del rea de Auditora Interna, y no necesariamente de la Gerencia General o el Directorio. Por ello es muy importante tener personal de auditora muy competente para ayudar al logro de los objetivos organizacionales.

75

5.3.

RECOMENDACIONES PARA TRABAJOS FUTUROS

Las siguientes son las recomendaciones para trabajos futuros relacionados con la metodologa:

A. Se debe mantener una conducta y lenguajes muy alturados y sobre todo, tener mucho cuidado en no fallar en la aplicacin de la metodologa, para poder obtener el respeto de las reas auditadas y sean menos reacias a su aceptacin.

B. MAIGTI deber complementarse cada vez que se cambien los procesos de la gestin informtica debido a las mejoras en la tecnologa: protocolos de seguridad en transacciones electrnicas, herramientas de seguridad de la informacin, mayor preponderancia de aplicaciones en equipos mviles, certificaciones de calidad internacionales relacionadas a la gestin informtica, etc.; sin embargo, la estructura se mantendra sin cambios sustanciales.

C. Un posible siguiente paso, sera validar la metodologa propuesta (mejorarla o desarrollar una nueva) para empresas proveedoras de servicios informticos: empresas proveedoras de outsourcing integral de la gestin informtica, empresas proveedoras de servicios de aplicaciones (Application Services Providers), empresas de desarrollo de software, etc.

76

BIBLIOGRAFA
A. Alexander A. (2007). Diseo de un Sistema de Gestin de Seguridad de la Informacin: ptica ISO/IEC 27001:2005. Bogot: Alfa Omega Colombiana.

B. Alfaro E. A. (2007). Los ERPs Generan o Destruyen Valor?. Trujillo: Universidad Csar Vallejo Congreso Internacional de Ingeniera de Sistemas.

C. Alfaro, E. A. (2008). Avance en la Implementacin de las Normas Tcnicas Peruanas de Gestin de Tecnologa de Informacin. Congreso Internacional Sudamericano de Ingeniera de Sistemas, Computacin e Informtica XII: Arequipa.

D. Andreu, R.; Ricart, J.; & Valor, J. (1991). Estrategia y Sistemas de Informacin (1st ed.). USA: McGraw Hill.

E. Chatterjee P. (1991). ULSI: market opportunities and manufacturing challenges, Digest. IEEE International Election Device Meeting, pag. 117.

F. Contralora General de la Repblica (1998). Normas de Control Interno para el Sector Pblico (1st ed.). Lima: Contralora General de la Repblica.

G. Contralora General de la Repblica (2006). Normas de Control Interno. Lima: Contralora General de la Repblica.

H. David, F. (2000). Strategic Management: Concepts and Cases (8va ed.). USA: McGraw Hill.

I.

Haag, S.; Cummings, M.; & Dawkins J. (2000). Management Information Systems for the Information Age (1st ed.). USA: McGraw-Hill.

J. Huber, G. P. (1990). A theory of effects of advanced information technologies on organizational design, intelligence and decision making. Academy of

Management Review, 15, pag. 47-71.

77

K. IEEE (1998). IEEE Standard for Software Project Management Plans. New York: IEEE.

L. INDECOPI (2004). TECNOLOGA DE LA INFORMACIN Procesos del Ciclo de Vida del Software (1st ed.). Lima: Comit de Reglamentos Tcnicos y Comerciales de INDECOPI.

M. INDECOPI (2006). TECNOLOGA DE LA INFORMACIN Procesos del Ciclo de Vida del Software (2nd ed.). Lima: Comit de Reglamentos Tcnicos y Comerciales de INDECOPI.

N. INDECOPI (2004). TECNOLOGA DE LA INFORMACIN Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin (1st ed.). Lima: Comit de Reglamentos Tcnicos y Comerciales de INDECOPI.

O. INDECOPI (2007). TECNOLOGA DE LA INFORMACIN Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin (2nd ed.). Lima: Comit de Reglamentos Tcnicos y Comerciales de INDECOPI.

P. Information Systems Audit and Control Association (1998). COBIT Objetivos de Control (2da ed.).

Q. ISACA (2008). Information Systems Audit and Control Association. Retrieved October 16th 2008, from: http://www.isaca.org/Template.cfm?Section=Downloads3&Template=/ContentM anagement/ContentDisplay.cfm&ContentID=19227.

R. ISO (2000). ISO 9001:2000 Sistemas de Gestin de la Calidad: Requisitos (1st ed.). Suiza: ISO.

S. ISO (2002). ISO 19011:2002 Directrices para la auditora de los sistemas de gestin de calidad y/o ambiental (1st ed.). Suiza: ISO.

T. IT Governance Institute (2006). COBIT 4.0. USA: IT Governance Institute.

U. IT Governance Institute (2008). The Val IT Framework 2.0 Extract. USA: IT Governance Institute. 78

V. ITIL Foundation (2008). ITIL Foundation Exam Practice. Retrieved May 9th 2008 from http://www.itsmexams.com/?gclid=CIC8jbS2q5MCFQRJFQodKi303g.

W. Jacobson, I., Booch, G., & Rumbaugh J. (2000). El Proceso Unificado de Desarrollo de Software. Pearson Educacin: Madrid.

X. Kemmerling G. & Pondman D. (2004). Gestin de Servicios TI, una introduccin a ITIL. Holanda: Van Haren Publishing.

Y. Lau T., Wong Y. H., Chan K. F., & Law M. (2001). Information Technology and the work environment does IT change the way people interact at work?. Human Systems Management, 20, pag. 267-279.

Z. Laudon K. C., & Laudon J. P. (2008). Sistemas de Informacin Gerencial Administracin de la Empresa Digital. Pearson Educacin: Mxico.

AA.Morton M. S. (1988). Information Technology and Corporate Strategy. Planning Review, pag. 28-31.

BB.Otkaba, H.; Alquicira, C.; Su, A.; Martnez, A.; Quintanilla, G.; Ruvalcaba, M.; Lpez, F.; Rivera, M. E.; Orozco, M. J.; Fernndez, Y.; Flores, M. A. (2005). Modelo de Procesos para la Industria de Software MoProSoft Por niveles de capacidad de procesos Versin 1.3.

CC.

Paulk M. C., Weber C. W., Garca S. M., Chrissis M. B., & Bush M. (1993).

Key Practices of the Capability Maturity Model Version 1.1. CMU/SEI-93-TR0.25.

DD.

Piattini, M., & Del Peso, E. (1998). Auditora Informtica - Un Enfoque

Prctico. Alfaomega: Bogot.

EE.Pressman, R. S. (1998). Ingeniera de Software - Un enfoque prctico. McGrawHill: Madrid.

FF. PROCOBRE (2005). Mallas de Tierra. Accedido: 20 de Diciembre del 2005, de: http://www.procobre.org/archivos/peru/mallas_detierra_en_edificaciones.pdf. 79

GG.

Project Management Institute. (2004). Gua de los Fundamentos de la

Direccin de Proyectos (3th ed.). Pennsylvania: PMI Publications.

HH.

Rubinstein, D. (2007). Standish Group Report: Threes Less Development

Chaos Today. Software Development Times, 169(1), 1.

II. Superintendencia de Banca y Seguros (2002). Circular N G-105-2002/SBS Riesgos de Tecnologas de Informacin (1st ed.). Lima: Superintendencia de Banca y Seguros.

JJ. Turban, E., King, D., Lee, J., Warketin, M., & Chung, H. M. (2002). Electronic Commerce 2002 A Managerial Perspective (2da. ed.). USA: Prentice Hall.

80

ANEXO 1 PROCEDIMIENTOS DE LA METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN INFORMTICA


A continuacin se detallan los procedimientos que estn comprendidos como parte de la metodologa para la auditora integral de la gestin informtica propuesta en el presente documento: P002: Procedimiento para la auditora de la Planificacin Estratgica. P003: Procedimiento para la auditora de los Planes Operativos. P004: Procedimiento para la auditora de la Evaluacin de Riesgos. P005: Procedimiento para la auditora de la Planificacin Estratgica de Tecnologas de Informacin. P006: Procedimiento para la auditora de los Planes de Proyecto de Desarrollo de Sistemas de Informacin. P007: Procedimiento para la auditora de los Planes de Proyecto de Compra de Sistemas de Informacin. P008: Procedimiento para la auditora del Plan de Contingencias de Informtica. P009: Procedimiento para la auditora del Plan de Continuidad de Negocio. P010: Procedimiento para la auditora del Plan de Seguridad de la Informacin. P011: Procedimiento para la auditora del Plan de Licenciamiento de Software. P012: Procedimiento para la auditora del Plan de Capacitacin. P013: Procedimiento para la auditora del Plan de Mantenimiento Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. P014: Procedimiento para la auditora del Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. P015: Procedimiento para la auditora de la Planificacin de Labores de Rutina relacionadas con las Tecnologas de Informacin. P016: Procedimiento para la auditora del Plan de Calidad. P017: Procedimiento para la auditora del Plan de Compras de Tecnologas de Informacin. P018: Procedimiento para la auditora del Reglamento de Organizacin y Funciones. P019: Procedimiento para la auditora del Manual de Organizacin y Funciones. P020: Procedimiento para la Evaluacin del Currculum Vitae del personal de Tecnologa de Informacin. P021: Procedimiento para la auditora del Inventario de Hardware de Tecnologa de Informacin. P022: Procedimiento para la auditora del Inventario de Software de Base. P023: Procedimiento para la auditora del Inventario de Sistemas de Informacin. P024: Procedimiento para la auditora de las Solicitudes y Evaluaciones de Cotizaciones para las compras de hardware de computadoras, redes y equipos relacionados. P025: Procedimiento para la auditora de las Solicitudes y Evaluaciones de Cotizaciones para las compras de software de base. P026: Procedimiento para la auditora de las Solicitudes y Evaluaciones de Cotizaciones para las compras de sistemas de informacin. P027: Procedimiento para la auditora de los contratos de compra de bienes y servicios, de hardware de computadoras, redes y equipos relacionados. P028: Procedimiento para la auditora de los contratos para la compra de software de base.

81

P029: Procedimiento para la auditora de los contratos para la compra de sistemas de informacin. P030: Procedimiento para la auditora de los contratos de seguros para las tecnologas de informacin. P031: Procedimiento para la auditora de la metodologa de desarrollo de sistemas de informacin. P032: Procedimiento para la auditora de la metodologa para la atencin de requerimientos de soporte tcnico. P033: Procedimiento para la auditora de la metodologa para la atencin de requerimientos de desarrollo de sistemas de informacin. P034: Procedimiento para la auditora de la documentacin de los manuales tcnicos de los sistemas de informacin. P035: Procedimiento para la auditora de la documentacin de los manuales de usuario de los sistemas de informacin. P036: Procedimiento para la auditora de la arquitectura de la red de tecnologas de informacin. P037: Procedimiento para la auditora de la seguridad de acceso a los sistemas de informacin. P038: Procedimiento para la auditora de la seguridad de acceso a las carpetas en los servidores. P039: Procedimiento para la auditora de los manuales de procedimientos de soporte tcnico. P040: Procedimiento para la auditora de los manuales de procedimientos de desarrollo de sistemas de informacin. P041: Procedimiento para la Revisin de los Formularios de Control de Entregables de Proyectos y Requerimientos de Desarrollo de Sistemas de Informacin. P042: Procedimiento para el Seguimiento de Informes de Auditora Interna. P043: Procedimiento para el Seguimiento de Informes de Auditora Externa. P044: Procedimiento para la auditora de las Certificaciones de Calidad de Tecnologa de Informacin. P045: Procedimiento para la auditora de la Evaluacin de Desempeo del rea de Tecnologa de Informacin. P046: Procedimiento para la auditora de la Evaluacin de Desempeo del Personal de Tecnologa de Informacin. P047: Procedimiento para la Revisin de los Formularios de Control de Cambios en Proyectos de Compra o Desarrollo de Sistemas de Informacin. P048: Procedimiento para la Revisin de los Formularios de Control de Riesgos en Proyectos de Compra o Desarrollo de Sistemas de Informacin. P049: Procedimiento para la Revisin de los Formularios de Seguimiento de Avances en Proyectos de Compra o Desarrollo de Sistemas de Informacin. P050: Procedimiento para la auditora del Control de Calidad de los Requerimientos de Compra o Desarrollo de Sistemas de Informacin. P051: Procedimiento para la auditora del Control de Calidad de los Requerimientos de Soporte Tcnico. P052: Procedimiento para Entrevistar a los usuarios de Tecnologas de Informacin. P053: Procedimiento para la auditora de las Instalaciones Elctricas de los Equipos de Cmputo y Redes. P054: Procedimiento para la auditora de la Seguridad de Acceso al Centro de Cmputo Principal. P055: Procedimiento para la auditora de las Instalaciones del Centro de Cmputo Principal. P056: Procedimiento para la auditora de la Seguridad de Acceso al Centro de Cmputo Alterno. 82

P057: Procedimiento para la auditora de las Instalaciones del Centro de Cmputo Alterno. P058: Procedimiento para la auditora del Cableado de Redes de Datos. P059: Procedimiento para la auditora del Clculo de la Generacin de Valor de los Proyectos. P060: Procedimiento para la Elaboracin del Informe Preliminar. P061: Procedimiento para el Envo, Sustentacin y Correccin del Informe Final. P062: Procedimiento para la Elaboracin del Plan de Trabajo de la Auditora. P063: Procedimiento para la Medicin de la Resistencia de la Puesta a Tierra.

P002: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN ESTRATGICA


OBJETIVO Analizar y evaluar el proceso de Planificacin Estratgica de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de Conformacin del Equipo de la Planificacin Estratgica. B. Revisin del proceso de Seleccin de la Metodologa para la Planificacin Estratgica. C. Revisin del Aprendizaje de la Metodologa para la Planificacin Estratgica. D. Revisin del proyecto de Elaboracin del Plan Estratgico. E. Revisin del proceso de planificacin del Proyecto de Elaboracin del Plan Estratgico. F. Anlisis y evaluacin de la ejecucin del Proyecto de Elaboracin del Plan Estratgico. G. Revisin de la ejecucin del Plan Estratgico. H. Revisin del proceso de evaluacin del Plan Estratgico. El alcance del procedimiento no incluye: A. Evaluacin de los planes operativos de la organizacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en el proceso de Planificacin Estratgica con sus respectivos telfonos, anexos y correos para contactarlos. B. Presupuesto de Ingresos y Egresos.

83

C. D. E. F.

Estados Financieros. Metodologa para la Planificacin Estratgica. Plan Estratgico de la Organizacin. Plan Estratgico de cada una de las reas.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de Conformacin del Equipo de la Planificacin Estratgica. Verificar que el equipo est conformado por personal de todas las gerencias, tanto los gerentes de lnea como los gerentes intermedios, as como personal sin rango gerencial directamente involucrado en procesos con el cliente o en procesos con los proveedores. C. Revisar el proceso de Seleccin de la Metodologa para la Planificacin Estratgica. Verificar lo siguiente: a) La metodologa a utilizar debe ajustarse a las necesidades de la organizacin. Por ejemplo, usar metodologas que en realidad son modelos matemticos que son aplicables a realidades diferentes a la nuestra, no sera una eleccin adecuada. La metodologa a emplear debe permitir que la organizacin identifique sus problemas, proponga los cambios a futuro y administre cmo hacerlos en la prctica. La metodologa a utilizar debe incluir la participacin de personal operativo de diversas reas, adems de los gerentes.

b)

c)

D. Revisar el Aprendizaje de la Metodologa para la Planificacin Estratgica elegida. Verificar lo siguiente: a) El equipo de Planificacin Estratgica de la organizacin, debe tener aprendida la metodologa de Planificacin Estratgica seleccionada antes de comenzar con el proyecto de Elaboracin del Plan Estratgico. Si el equipo de Planificacin Estratgica est conformado tambin por personal de una empresa proveedora, debe tener las competencias necesarias para dirigir o colaborar con la organizacin en dicho proceso. Para ello se deber hacer la evaluacin respectiva.

b)

E. Revisar el proyecto de Elaboracin del Plan Estratgico. F. Revisar el proceso de planificacin del Proyecto de Elaboracin del Plan Estratgico. Verificar lo siguiente: a) Que los horarios para el desarrollo de las actividades del proyecto permitan que est el mayor nmero de personas. b) Que el diagrama de Gantt inicial del proyecto incluya todas y cada una de las etapas formales de la metodologa elegida. c) Que el diagrama de Gantt inicial del proyecto incluya la elaboracin de los planes para cada una de las reas funcionales de la organizacin resultante al final del proceso de planificacin estratgica. G. Analizar y evaluar la ejecucin del Proyecto de Elaboracin del Plan Estratgico. Verificar lo siguiente: 84

a) b) c) d) e) f) g)

Las actas de reuniones del proyecto. Resultado de cada reunin para la elaboracin del Plan Estratgico. Diagramas de Gantt con todos los cambios. Elaboracin de Planes Estratgicos para cada una de las reas. Determinacin de indicadores de gestin para la organizacin en su conjunto. Determinacin de indicadores de gestin para cada una de las reas, de manera alineada con los indicadores de la organizacin en su conjunto. Elaboracin de procesos para la evaluacin de la estrategia.

H. Revisar la ejecucin del Plan Estratgico. Verificar que las actividades desarrolladas por la organizacin se ajusten a los procesos estratgicos delineados por el Plan Estratgico. I. Revisar el proceso de evaluacin del Plan Estratgico. Verificar que se est ejecutando el proceso de evaluacin y las actas en que conste las decisiones que se haya tomado para corregir las desviaciones de lo planificado, o en su defecto, las evidencias que demuestran que s se tomaron acciones correctivas.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan Estratgico. B. El Plan Estratgico es de conocimiento slo del dueo, presidente del directorio o gerente general, y se va soltando por pequeas partes la informacin para que las reas realicen sus planes. No se llega a entregar o decir verbalmente el Plan Estratgico por temor a que lo sepa la competencia o porque no se ha dedicado el tiempo para documentarlo o estructurarlo correctamente. C. El Plan Estratgico es encargado a una empresa proveedora y es un documento que slo sirve para cumplir con tenerlo y evitar que auditora observe que no se tiene. D. El Plan Estratgico es un conjunto de ideas sueltas que no integran las labores de las diversas reas de manera armoniosa. E. El Plan Estratgico es un conjunto de ideas sueltas que no sirven de mucho para estructurar los planes operativos. F. El proceso de Planificacin Estratgica demora demasiado. Incluso en organizaciones grandes, este proceso no debera demorar ms de 4 meses. G. Los procesos y proyectos descritos en el Plan Estratgico carecen de un anlisis de generacin de valor.

85

P003: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES OPERATIVOS


OBJETIVO Analizar y evaluar el proceso de elaboracin de los planes operativos de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del equipo en cada rea para la elaboracin de los planes operativos. B. Verificacin de los planes operativos, para saber si estn alineados al plan estratgico de la organizacin. C. Verificacin de los planes operativos, para saber si incluyen todos los procesos y proyectos principales de cada rea de la organizacin. D. Verificacin del establecimiento de presupuestos y cronogramas claros para cada uno de los proyectos que se van a ejecutar. El alcance del procedimiento no incluye: A. Evaluacin detallada de cada una de las actividades de cada uno de los proyectos planteados.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en el proceso de elaboracin de planes operativos con sus respectivos telfonos, anexos y correos para contactarlos. B. Presupuesto de Ingresos y Egresos. C. Estados Financieros. D. Plan Estratgico de la Organizacin. E. Plan Estratgico de cada una de las reas. F. Metodologa para la Planificacin Operativa. G. Plan Operativo.

86

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin de los equipos para la elaboracin de los planes operativos. Verificar que el equipo incluya el personal clave de cada gerencia, tanto los gerentes principales como los gerentes intermedios. C. Verificar que los planes operativos estn alineados al plan estratgico de la organizacin. Para ello se debe verificar que cada uno de los procesos o actividades principales ayuden ya sea de manera directa o indirecta al logro de los planes estratgicos. Si no se alinean, habr que observarlos en ese sentido. D. Verificar que se haya cumplido la metodologa establecida por la organizacin para la elaboracin de planes operativos. E. Verificar que los planes operativos incluyan todos los procesos y proyectos principales de cada rea de la organizacin. Esta parte indica procesos de seguros; sin embargo, dependiendo de cada organizacin, habra que reemplazar los procesos por los que correspondan: a) Planeamiento. Elaboracin del Plan Estratgico. Evaluacin del Plan Estratgico. Elaboracin del Presupuesto. Seguimiento al Presupuesto. Organizacin y Mtodos Elaboracin de organigramas. Elaboracin de polticas. Elaboracin de los manuales de procedimientos. Marketing. Investigacin de Mercados. Servicio al Cliente. Atencin de consultas. Atencin de Reclamos. Publicidad Promociones. Ventas. Canales de Distribucin. Bonos e Incentivos. Comisiones. Operaciones de Seguros. Primas Directas Suscripcin de Primas Directas. Emisin de Coberturas Provisionales. Inspeccin por solicitudes de primas directas. Emisin de Primas Directas. 87

b)

c)

d)

e)

Aprobacin de Primas Directas. Distribucin de Documentos de Primas Directas.

Coaseguros Cedidos / Primas Aceptacin de Coaseguros Cedidos. Generacin de la Nota Tcnica o Planilla de Cesin. Coaseguros Recibidos / Primas Aceptacin de Coaseguros Recibidos. Generacin de la Nota Tcnica o Planilla de Cesin. Reaseguro de Primas. Generacin de contratos de reaseguros. Generacin de contratos proporcionales. Generacin de contratos no proporcionales. Generacin de la Nota Tcnica o Planilla de Cesin. Siniestros Directos. Recepcin de la denuncia del siniestro. Inspeccin o ajuste. Recepcin de los documentos de inspeccin. Provisin de la reserva por el siniestro. Contabilizacin de la provisin de la reserva por el siniestro. Liquidacin de Siniestros Directos. Contabilizacin de la Liquidacin de Siniestros Directos. Pago de Siniestros Directos. Contabilizacin del Pago de Siniestros Directos. Coaseguros Cedidos / Siniestros Generacin de la Planilla de Siniestros. Pago de Siniestros de Coaseguros Cedidos. Generacin de la Nota Tcnica o Planilla de Cesin. Coaseguros Recibidos / Siniestros. Generacin de la planilla de siniestros de coaseguros recibidos. Generacin de la Nota Tcnica o Planilla de Cesin. Reaseguro de Siniestros. Evaluacin de la Calidad de los Reaseguradores. Cumplimiento de la poltica de reaseguros de la empresa. Cumplimiento de las normas de contratacin de reaseguradores. Generacin de la planilla de siniestros. Generacin de la Nota Tcnica o Planilla de Cesin. Presentacin de Informacin. Constitucin de Reservas Tcnicas. Constitucin de Reservas Tcnicas de Primas. Constitucin de Reservas Tcnicas de Siniestros. Constitucin del Patrimonio de Solvencia. Constitucin del Fondo de Garanta.

f)

Inversiones. Cumplimiento del Plan de Inversiones. 88

Cumplimiento del Reglamento de Inversiones Elegibles. Cobertura de Oligaciones Tcnicas. Valorizacin de Inversiones. Registro contable de las inversiones. Constitucin de provisiones. Presentacin de Informacin. Presentacin de Informacin a la gerencia general. Presentacin de Informacin al directorio. Presentacin de Informacin a la SBS. Presentacin de Informacin a CONASEV.

g)

Recursos Humanos. Reclutamiento. Seleccin. Contratacin. Capacitacin. Evaluacin de Desempeo. Compensaciones. Asistencia Social. Administracin y Finanzas. Compras. Solicitud de cotizaciones a proveedores. Evaluacin de cotizaciones de proveedores. Determinacin de la cotizacin ganadora. Solicitudes de compra. Aprobaciones de las solicitudes de compra. Generacin de rdenes de compra. Tesorera. Caja. Bancos. Cobranzas. Elaboracin de la Poltica de Cobranzas. Zonificacin. Custodia. Distribucin. Generacin de la planilla de primas por cobrar bajo rgimen general. Registro contable de la planilla de primas por cobrar bajo rgimen general. Liquidacin de Cobranzas. Resolucin del contrato de seguros por falta de pago. Pagos. Elaboracin de Planillas de Pagos. Pagos a brokers. Pagos a coaseguradores. Pagos a reaseguradores. Pagos a proveedores. Pagos a personal. Pagos de impuestos y contribuciones. Contabilidad. Elaboracin de Modelos de Asientos Contables. Registro de Transacciones. Clculo de Impuestos y Contribuciones. 89

h)

i) j)

Arqueo de Fondo Fijo y Caja Princiipal a nivel nacional. Generacin de libros contables. Generacin de estados financieros. Presentacin de Informacin. Presentacin de Informacin a la Gerencia General. Presentacin de Informacin al Directorio. Presentacin de Informacin a CONASEV. Presentacin de Informacin a la SBS. Archivo. Mantenimiento. Almacn. Vigilancia.

Asesora Legal. Tecnologa de la Informacin Desarrollo de Sistemas. Infraestructura de Tecnologa de Informacin.

F. Verificar que se haya elaborado presupuestos y cronogramas claros para cada uno de los proyectos y procesos que se van a ejecutar. Debe incluirse tanto presupuestos de ingresos como presupuesto de egresos adems de cronogramas de ejecucin de las actividades de los proyectos que se van a desarrollar con su respectiva asignacin de responsabilidades. En el caso de los procesos se debe detallar la organizacin del trabajo y los horarios en los cules se van a desarrollar las actividades con su respectiva asignacin de responsabilidades.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene planes operativos. B. Los planes operativos se van haciendo en el transcurso del tiempo de ejecucin de la estrategia. C. Los planes operativos son muy cortos. No se detallan los procesos y actividades a realizar para lograr los objetivos de los planes estratgicos. D. Los planes operativos no detallan los presupuestos de ingresos y egresos, ni los cronogramas de ejecucin con su respectiva asignacin de responsabilidades. E. Los planes operativos carecen de un anlisis de generacin de valor de los proyectos y procesos involucrados. F. Los planes operativos se desarrollan slo para el corto plazo, sin considerar el mediano y largo plazo.

90

P004: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE RIESGOS


OBJETIVO Analizar y evaluar el proceso de evaluacin de riesgos de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin de los equipos para la evaluacin de riesgos. B. Revisin de la metodologa para la evaluacin de riesgos. C. Revisin de los documentos resultado de la evaluacin de riesgos. D. Revisin de las respuestas de las gerencias para evitar o minimizar los riesgos identificados. E. Verificacin de cronogramas y asignacin de recursos y responsabilidades en las diversas gerencias, para evitar o minimizar los riesgos, de acuerdo al punto anterior. El alcance del procedimiento no incluye: A. Evaluacin de errores pasados que no tengan consecuencias futuras.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en el proceso de evaluacin de riesgos con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de la Organizacin. C. Plan Estratgico de cada una de las reas. D. Plan Operativo de cada una de las reas. E. Metodologa para la Evaluacin de Riesgos. F. Documento de Evaluacin de Riesgos. G. Respuestas de las gerencias ante la evaluacin de riesgos. H. Cronogramas y asignacin de recursos y responsabilidades.

91

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin de los equipos para la evaluacin de riesgos. Se deber tener tanto un equipo correspondiente a la Unidad de Riesgos, un equipo correspondiente al proveedor (en caso que sea una empresa consultora la que realice la evaluacin de riesgos) y un equipo o persona correspondiente a cada una de las gerencias de la organizacin. Verificar que los equipos incluyan a personal clave de cada gerencia, tanto los gerentes principales como los gerentes intermedios. C. Verificar que se haya cumplido la metodologa establecida por la organizacin para la evaluacin de riesgos. D. Verificar que el resultado de la evaluacin de riesgos, incluya los riesgos que se ha podido identificar en el rea de Auditora Interna, adems de los riesgos siguientes: a) b) c) d) e) f) g) h) i) Riesgos de mercado. Riesgos legales. Riesgos de liquidez. Riesgos de operacin. Riesgos de crdito. Riesgos de reputacin o imagen. Riesgos de lavado de activos. Riesgos ambientales. Riesgo estratgico, etc.

Por cada riesgo identificado se debe especificar por lo menos cualitativamente (si se puede es mejor hacerlo cuantitativamente) lo siguiente: a) b) c) Probabilidades de ocurrencia (alta, media, baja numricamente). Impacto (Costos de no protegernos contra ese riesgo). Costos de protegernos contra ese riesgo.

E. Verificar que se haya elaborado presupuestos y cronogramas claros para cada uno de los proyectos y procesos que se van a ejecutar, luego de la evaluacin de riesgos. Debe incluirse tanto presupuestos de ingresos como presupuesto de egresos adems de cronogramas de ejecucin de las actividades de los proyectos que se van a desarrollar con su respectiva asignacin de responsabilidades. En el caso de los procesos se debe detallar la organizacin del trabajo y los horarios en los cuales se van a desarrollar las actividades con su respectiva asignacin de responsabilidades.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza evaluaciones de riesgos.

92

B. Las evaluaciones de riesgos son encargadas a una empresa consultora que entrega un documento netamente acadmico modificado para la empresa. C. Las evaluaciones de riesgos no se realizan de manera estricta y slo sirven para que el organismo regulador no emita sanciones.

P005: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN ESTRATGICA DE TECNOLOGAS DE INFORMACIN


OBJETIVO Analizar y evaluar el proceso de elaboracin del Plan Estratgico de Tecnologas de informacin1 de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Comit de Tecnologa de informacin2. B. Verificacin de la alineacin del PETI al plan estratgico de la organizacin. C. Verificacin de la determinacin de presupuesto, cronogramas responsabilidades de ejecucin de los procesos y proyectos del PETI. y

D. Verificacin de la existencia del Anlisis de Generacin de Valor de cada uno de los proyectos del PETI, as como el PETI en su conjunto. E. Verificacin de la existencia de indicadores de gestin y procesos de evaluacin de la estrategia del PETI, alineados a la evaluacin de la estrategia global de la organizacin. El alcance del procedimiento no incluye: A. Evaluacin detallada de cada una de las actividades de cada uno de los proyectos planteados.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin:

1 2

En adelante se le llamar PETI al Plan Estratgico de Tecnologas de informacin. En adelante se le llamar CTI al Comit de Tecnologa de informacin.

93

A. Lista de personas que participan o han participado en el Comit de Tecnologas de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Actas de reuniones del Comit de Tecnologa de informacin. C. Presupuesto del PETI. D. Valorizacin de activos fijos e intangibles relacionados con las tecnologas de informacin. E. Plan Estratgico de la Organizacin. F. Plan Estratgico de cada una de las reas. G. PETI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del CTI3. Verificar que el equipo incluya el personal clave de cada gerencia, tanto los gerentes principales como los gerentes intermedios. C. Verificar que los PETIs estn alineados al plan estratgico de la organizacin. Para ello se debe verificar que cada uno de los procesos o actividades principales ayuden ya sea de manera directa o indirecta al logro de los planes estratgicos. Si no se alinean, habr que observarlos en ese sentido. Por ejemplo, no contribuye al logro de los objetivos organizacionales enfocarse en detalles no urgentes relativos a sistemas contables cuando las operaciones no son llevadas adecuadamente y de acuerdo al plan estratgico se debe incrementar la velocidad de la atencin al cliente. D. Verificar que se haya elaborado presupuestos y cronogramas claros para cada uno de los proyectos y procesos que se van a ejecutar en el PETI. Debe incluirse tanto presupuestos, cronogramas de ejecucin de las actividades de los proyectos que se van a desarrollar con su respectiva asignacin de responsabilidades. En el caso de los procesos se debe detallar la organizacin del trabajo y los horarios en los cules se van a desarrollar las actividades con su respectiva asignacin de responsabilidades. E. Verificacin de la existencia del Anlisis de Generacin de Valor de cada uno de los proyectos del PETI, as como el PETI en su conjunto. El anlisis de generacin de valor de los proyectos debe someterse al clculo del valor presente neto a una tasa mnima atractiva de retorno para un flujo neto en un perodo de evaluacin que debe determinarlo el directorio, la gerencia general o ser igual perodo de evaluacin del plan estratgico. La tasa mnima atractiva de retorno debe ser determinada por el directorio o la gerencia general. El valor presente neto debe ser una cantidad positiva y atractiva para la organizacin. Ver procedimiento P059, en el cual se detalla el clculo de la generacin de valor de los proyectos. La generacin de valor del PETI se calcular como la suma del valor presente neto de cada uno de los proyectos.

El CTI es la entidad que debe desarrollar el PETI.

94

F. Verificacin de la existencia de indicadores de gestin y procesos de evaluacin de la estrategia del PETI, alineados a los indicadores de gestin para la evaluacin de la estrategia global de la organizacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PETI. B. Los PETIs se van haciendo en el transcurso del tiempo. C. Los PETIs son documentos muy cortos. No se detallan los procesos y actividades a realizar para lograr los objetivos de los planes estratgicos. D. Los PETIs no detallan los presupuestos de ingresos y egresos, ni los cronogramas de ejecucin con su respectiva asignacin de responsabilidades. E. Los PETIs carecen de un anlisis de generacin de valor de los proyectos y procesos involucrados. F. Los PETIs se desarrollan slo para el corto plazo, sin considerar el mediano y largo plazo.

P006: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES DE PROYECTO DE DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar el proceso de elaboracin de planes de proyecto de desarrollo de sistemas de informacin en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Comit de Usuarios y el Lder de Usuarios, para el proyecto de desarrollo de un sistema de informacin. B. Verificacin de la alineacin del proyecto al PETI y al Plan Estratgico de la organizacin. C. Verificacin de la existencia del Anlisis de Generacin de Valor del proyecto. D. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades de ejecucin de los proyectos. E. Verificacin de la existencia de indicadores de gestin para la planificacin del proyecto. 95

F. Revisin de la inclusin de actividades formales del ciclo de vida de desarrollo de sistemas en la planificacin del proyecto: El alcance del procedimiento no incluye: A. Verificacin de procesos en proyectos de compra de sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en la planificacin del proyecto de desarrollo del sistema de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de la Organizacin. C. Plan Estratgico de Tecnologas de informacin. D. Anlisis de Generacin de Valor del Proyecto. E. Comit de Usuarios del Proyecto. F. Actas de reuniones del Jefe de Proyecto con el Lder de Usuarios. G. Especificaciones Funcionales y Tcnicas del Proyecto. H. Planes del Proyecto: Plan de Gestin de la Integracin, Plan de Gestin del Alcance, Plan de Gestin del Tiempo, Plan de Gestin de los Costos, Plan de Gestin de la Calidad, Plan de Gestin de Recursos Humanos, Plan de Gestin de las Comunicaciones, Plan de Gestin de Riesgos, y Plan de Gestin de las Adquisiciones. I. Formatos de Control de Cambios del Proyecto. J. Formatos de Control de Entregables del Proyecto. K. Formatos de Control de Riesgos del Proyecto. L. Todos los diagramas de Gantt del proyecto. M. Presupuesto del proyecto. N. Indicadores de Gestin del Proyecto.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del Comit de Usuarios y el nombramiento del Lder de Usuarios, para el proyecto de desarrollo del sistema de informacin. Verificar que en el comit de usuarios est el personal clave que tiene relacin con los procesos que sern soportados con el sistema de informacin. El lder de usuarios, de preferencia, debe ser una persona con rango gerencial (intermedio o de lnea), que conozca los procesos que sern soportados con el sistema de informacin, sus interrelaciones y las interrelaciones que estos tienen con el resto de procesos de la organizacin. C. Verificar la alineacin del proyecto al PETI y al Plan Estratgico de la organizacin. El proyecto debe contribuir a la generacin del valor de la organizacin de acuerdo a lo planteado en el PETI y el Plan Estratgico. 96

D. Verificar la asignacin de presupuesto, cronogramas y responsabilidades de ejecucin de los proyectos. Tener en cuenta: a) Para la verificacin de las responsabilidades, se debe revisar la organizacin del proyecto, la cual debe tener los principios claros de unidad de mando, as como la asignacin de la responsabilidad por cada etapa, proceso o mdulo de sistema a desarrollar. Las responsabilidades deben estar asignadas tanto para el equipo de desarrollo como para el equipo o comit de usuarios. b) En los cronogramas debe aparecer el detalle de las actividades a nivel de horas. Adems se debe verificar la sobreasignacin de recursos; es decir, que no se crucen actividades en paralelo con la misma persona o equipo de personas. Revisar el enlace de las actividades de manera que no quede ninguna actividad sin enlazar. De esta manera se puede calcular de manera menos irreal la ruta crtica. Considerar adems que se debe tener el calendario laboral con las fechas y horas reales de trabajo, adems de lo planificado o replanificado. c) Verificar que se haya asignado un presupuesto adecuado para cada una de las etapas considerando tanto las inversiones como los gastos adicionales por el proyecto. E. Verificar la existencia del Anlisis de Generacin de Valor del proyecto. Debe verificarse que exista el clculo del valor actual neto por el proyecto. Si el valor actual neto es un nmero negativo o un nmero pequeo positivo, observar que se est desarrollando o se ha desarrollado un proyecto que no genera valor o un proyecto que no es atractivo para la organizacin, respectivamente. F. Verificar la existencia de indicadores de gestin para el proyecto. Debe definirse indicadores de gestin que permitan al Jefe de Proyecto, tomar acciones correctivas en el momento adecuado. Estos indicadores de gestin debern estar en funcin de tiempo, dinero (presupuesto) y nivel de cumplimiento de las especificaciones. G. Verificar la correcta definicin de los planes de gestin del proyecto que sugiere el PMBOK por cada rea de conocimiento: integracin, alcance, costos, tiempo, calidad, recursos humanos, comunicaciones, riesgos y adquisiciones. H. Revisar la inclusin de actividades formales del ciclo de vida de desarrollo de sistemas de informacin, en la planificacin del proyecto: a) Levantamiento de Informacin. Revisin de los formatos de entrevistas u otro tipo de informacin que sirvi de base para elaborar las especificaciones funcionales. b) Elaboracin de Especificaciones Funcionales y Tcnicas. Verificar la inclusin de las siguientes actividades: Revisar el detalle de los requerimientos funcionales y tcnicos del sistema de informacin. Si un sistema de informacin reemplazar a uno ya existente, revisar las hojas de anlisis diferencial y ver que se hayan incluido todas las funcionalidades del sistema ya existente en el nuevo.

97

c) Planificacin. Revisin del enlace de las diversas actividades. No deberan quedar actividades sueltas, sin relaciones con otras actividades. Revisin de la correcta definicin del diagrama de red e identificacin de la ruta crtica (de preferencia, la cadena crtica). Verificar que las actividades estn definidas a nivel de horas, separando claramente qu persona o grupo de personas las realizar. d) Capacitacin. Verificar la inclusin de las siguientes actividades: Capacitacin Funcional sobre procesos a ser soportados por el sistema de informacin. Capacitacin Tcnica (herramientas y lenguajes de programacin, herramientas administradoras de bases de datos, configuraciones, etc.). De no estar definida, recomendar la elaboracin de libreras de cdigo fuente en esta etapa. e) Anlisis. Verificar la inclusin de las siguientes actividades: Anlisis de cada uno de los mdulos. Interrelaciones entre los mdulos. Elaboracin de los diversos diagramas y documentacin, de acuerdo a la metodologa elegida. f) Diseo. Verificar la inclusin de las siguientes actividades: Elaboracin del diseo de interfaces grficas de usuario. Elaboracin del diseo de la base de datos. Elaboracin del diseo de la estructura de los diversos componentes del sistema de informacin. Elaboracin de los diversos diagramas y documentacin, de acuerdo a la metodologa elegida. Elaboracin de los diversos planes sugeridos por la ISO/IEC 12207: Plan de Pruebas. Plan de Gestin de la Configuracin. Plan de Configuracin de la Infraestructura. Plan de Aseguramiento de la Calidad. Plan de Control de Calidad. Plan de Revisin Conjunta. Plan de Validacin. Plan de Integracin del Software. Plan de Instalacin del Software. Plan de Migracin de Datos. Plan de Retirada del Software. Plan de Formacin. Elaboracin de Manuales Tcnicos. g) Implementacin. Verificar la inclusin de las siguientes actividades: Elaboracin de especificaciones tcnicas o seudocdigos. Actividades de programacin de cada uno de los mdulos. h) Integracin y Pruebas. Verificar la inclusin de las siguientes actividades: Integracin de las diversas aplicaciones. Pruebas del Sistema Completo. Estas pruebas las debe realizar tanto personal de sistemas como personal del comit de usuarios. Deben estar incluidas las siguientes pruebas (que deben pertenecer a un Plan de Pruebas): 98

Pruebas de Interfase Grfica de Usuario. Pruebas de Caja Negra. Pruebas de Caja Blanca. Pruebas de Integracin (Ascendente y Descendente). Pruebas de Resistencia o Estrs. Pruebas de Seguridad. Pruebas de Pistas de Auditora.

i) Implantacin. Verificar la inclusin de las siguientes actividades: Elaboracin de Manuales de Usuario. Instalacin y Configuracin del sistema de informacin. Migracin de los datos. Capacitacin al Usuario. j) Operacin. Verificar la inclusin de actividades de apoyo al usuario, luego que el sistema de informacin est implantado. k) Mantenimiento. Verificar la inclusin de actividades de ajuste a los mdulos desarrollados. I. Verificar la inclusin de actividades formales de revisin y correccin errores al final de cada etapa descrita en el punto H.

J. Verificar la inclusin de actividades formales de documentacin, por lo menos al final de cada etapa descrita en el punto H.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. No existe un comit de usuarios ni un lder de usuarios formal. B. Los usuarios no se comprometen con el proyecto. C. No se elaboran bien las especificaciones funcionales y tcnicas del proyecto. D. No se elaboran planes de pruebas para los proyectos de desarrollo de sistemas de informacin. E. No se elaboran planes de migracin de datos para los proyectos de desarrollo de sistemas de informacin. F. No se elaboran planes de integracin, es decir, planes para la elaboracin de interfaces del sistema de informacin a desarrollar con los dems sistemas existentes en la organizacin. G. Los planes indicados en los puntos D, E F se hacen de manera muy rpida, luego de la etapa de implementacin, cuando el problema ya es evidente, ocasionando ms problemas por informacin errada o inconsistente. H. No se incluyen actividades de capacitacin formales con el personal, de manera previa al anlisis; es decir, Se aprende en el camino. Esto provoca una serie de retrasos en los proyectos que se traducen muchas veces en demoras adicionales del 25% del tiempo total o ms. 99

I.

No se ejecutan todas las pruebas necesarias para asegurarnos que el sistema no falle. Esto se debe en gran parte a que no se tiene un plan de pruebas y lo nico que queda despus es tratar de probar el sistemas de informacin desarrollado, con las mejoras intenciones. Esto no permite reducir al mnimo la existencia de errores.

J. No se ejecutan pruebas. K. Las pruebas las ejecuta directamente el usuario cuando el sistema ya est implantado. L. No se incluyen actividades formales de revisin y correccin de errores. M. No se incluyen actividades formales de documentacin o la documentacin es dejada para el final. N. Las actividades no se detallan al mximo y aparecen definidas en funcin de das o semanas. O. No se capacita adecuadamente al usuario sobre las funcionalidades del sistema. P. No se desarrollan los planes que sugieren las buenas prcticas del PMBOK. En muchos casos ni siquiera los planes indispensables, relacionados al alcance, tiempo y costo.

P007: PROCEDIMIENTO PARA LA AUDITORA DE LOS PLANES DE PROYECTO DE COMPRA DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar el proceso de elaboracin de planes de proyecto de compra de sistemas de informacin en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Comit de Usuarios y el Lder de Usuarios, para el proyecto de compra de un sistema de informacin. B. Verificacin de la alineacin del proyecto al PETI y al Plan Estratgico de la organizacin. C. Verificacin de la existencia del Anlisis de Generacin de Valor del proyecto. D. Verificacin de la asignacin de presupuesto para el proyecto.

100

E. Verificacin de la existencia de cotizaciones previas a la evaluacin de la compra del proyecto. F. Verificacin de la existencia y validez de la evaluacin de las cotizaciones y la determinacin de la empresa ganadora. G. Verificacin de la asignacin de cronogramas y responsabilidades de ejecucin al proyecto de compra. H. Verificacin de la existencia de indicadores de gestin para la planificacin del proyecto. I. Revisin de la inclusin de actividades formales del ciclo de vida de desarrollo de sistemas en la planificacin del proyecto.

El alcance del procedimiento no incluye: A. Revisin detallada de la metodologa de desarrollo de sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en la planificacin del proyecto de compra del sistema de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de la Organizacin. C. Plan Estratgico de Tecnologas de informacin. D. Anlisis de Generacin de Valor del Proyecto. E. Actas de reuniones del Jefe de Proyecto de la organizacin con el Lder de Usuarios y con el Jefe de Proyecto del proveedor. F. Cotizaciones para la evaluacin de la compra del proyecto. G. Evaluacin de las propuestas para la compra del proyecto. H. Contrato para la compra del proyecto. I. Especificaciones Funcionales y Tcnicas del Proyecto. J. Planes del Proyecto: Plan de Gestin de la Integracin, Plan de Gestin del Alcance, Plan de Gestin del Tiempo, Plan de Gestin de los Costos, Plan de Gestin de la Calidad, Plan de Gestin de Recursos Humanos, Plan de Gestin de las Comunicaciones, Plan de Gestin de Riesgos, y Plan de Gestin de las Adquisiciones. K. Formatos de Control de Cambios del Proyecto. L. Formatos de Control de Entregables del Proyecto. M. Formatos de Control de Riesgos del Proyecto. N. Todos los diagramas de Gantt del proyecto. O. Presupuesto del proyecto. P. Indicadores de Gestin del Proyecto.

PROCESO Las actividades a realizar para esta auditora son las siguientes:

101

A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del Comit de Usuarios y el Lder de Usuarios, para el proyecto de compra del sistema de informacin. Verificar que en el comit de usuarios est el personal clave que tiene relacin con los procesos que sern soportados con el sistema de informacin. El lder de usuario de preferencia debe ser una persona con rango gerencial (gerente de lnea o gerente intermedio), que conozca los procesos que sern soportados con el sistema de informacin, sus interrelaciones y las interrelaciones que estos tienen con el resto de procesos de la organizacin. C. Verificar la alineacin del proyecto al PETI y al Plan Estratgico de la organizacin. El proyecto debe contribuir a la generacin del valor de la organizacin de acuerdo a lo planteado en el PETI y el Plan Estratgico. D. Verificar la existencia del Anlisis de Generacin de Valor del proyecto. Debe verificarse que exista el clculo del valor actual neto por el proyecto. Si el valor actual neto es un nmero negativo o un nmero pequeo positivo, observar que se est desarrollando o se ha desarrollado un proyecto que no genera valor o un proyecto que no es atractivo para la organizacin, respectivamente. E. Verificar la asignacin de un presupuesto adecuado para el proyecto, de acuerdo a sus objetivos y alcances y de acuerdo a cada una de las etapas considerando tanto las inversiones como los gastos adicionales por el proyecto. F. Verificar la existencia de cotizaciones previas a la evaluacin de la compra del proyecto. Considerar que debe existir por lo menos 3 cotizaciones para una transparente evaluacin. G. Verificar la existencia y validez de la evaluacin de las cotizaciones y la determinacin de la empresa ganadora. Se debe verificar que se haya recibido en su debido momento, las respectivas propuestas tcnicas y propuestas econmicas de por lo menos tres proveedores lo suficientemente calificados para poder postular. Adems se debe verificar que se hayan tenido claros los criterios de evaluacin del proveedor antes de realizar la evaluacin y que se haya colocado los puntajes correctos a los proveedores y sus propuestas. Finalmente queda revisar que se haya realizado correctamente el clculo de la sumatoria de los puntajes diversos de la evaluacin para determinar la empresa ganadora. K. Verificar la correcta definicin de los planes de gestin del proyecto que sugiere el PMBOK por cada rea de conocimiento: integracin, alcance, costos, tiempo, calidad, recursos humanos, comunicaciones, riesgos y adquisiciones. H. Verificar la asignacin de cronogramas y responsabilidades de ejecucin de los proyectos. Tener en cuenta: a) Para la verificacin de las responsabilidades, se debe revisar la organizacin del proyecto, la cual debe tener los principios claros de unidad de mando, as como la asignacin de la responsabilidad por cada etapa, proceso o mdulo de sistema a desarrollar. Las responsabilidades deben estar asignadas tanto por el equipo de desarrollo como el equipo o comit de usuarios.

102

b)

En los cronogramas debe aparecer el detalle de las actividades a nivel de horas. Adems se debe verificar la sobreasignacin de recursos; es decir, que no se crucen actividades en paralelo con la misma persona o equipo de personas. Revisar el enlace de las actividades de manera que no quede ninguna actividad sin enlazar. De esta manera se puede calcular de manera menos irreal la ruta crtica. Considerar adems que se debe tener el calendario laboral con las fechas y horas reales de trabajo, adems de lo planificado o replanificado.

I.

Verificar la existencia de indicadores de gestin para el proyecto. Debe definirse indicadores de gestin que permitan al Jefe de Proyecto, tomar acciones correctivas en el momento adecuado. Estos indicadores de gestin debern estar en funcin de tiempo, dinero (presupuesto) y nivel de cumplimiento de las especificaciones.

J. Revisar la inclusin de actividades formales del ciclo de vida de desarrollo de sistemas en la planificacin del proyecto: a) Levantamiento de Informacin. Revisin de los formatos de entrevistas u otro tipo de informacin que sirvi de base para elaborar las especificaciones funcionales. b) Elaboracin de Especificaciones Funcionales y Tcnicas. Verificar la inclusin de las siguientes actividades: Revisar el detalle de los requerimientos del sistema. Si un sistema de informacin reemplazar a uno ya existente, revisar las hojas de anlisis diferencial y ver que se hayan incluido todas las funcionalidades del sistema ya existente en el nuevo. c) Planificacin. Revisin del enlace de las diversas actividades. No deberan quedar actividades sueltas, sin relaciones con otras actividades. Revisin de la correcta definicin del diagrama de red e identificacin de la ruta crtica. Verificar que las actividades estn definidas a nivel de horas, separando claramente qu persona o grupo de personas las realizar. d) Capacitacin. Verificar la inclusin de las siguientes actividades: Capacitacin Funcional sobre procesos a ser soportados por el sistema de informacin. Capacitacin Tcnica (herramientas y lenguajes de programacin, herramientas administradoras de bases de datos, configuraciones, etc.). De no estar definida, recomendar la elaboracin de libreras de cdigo fuente en esta etapa. Esto ltimo es aplicable si el proyecto de compra incluye la compra del cdigo fuente del sistema de informacin y asumiendo que el cdigo fuente ser mantenido por personal de la empresa. e) Anlisis. Verificar la inclusin de las siguientes actividades, aplicables si el proyecto de compra incluye desarrollo de nuevas funcionalidades: Anlisis de cada uno de los mdulos. Interrelaciones entre los mdulos. Elaboracin de los diversos diagramas y documentacin, de acuerdo a la metodologa elegida.

103

f)

Diseo. Verificar la inclusin de las siguientes actividades: Elaboracin del diseo de interfaces grficas de usuario. Elaboracin del diseo de la base de datos. Elaboracin del diseo de la estructura de los diversos componentes del sistema de informacin. Elaboracin de Planes de Pruebas. Elaboracin de Planes de Migracin de los Datos. Elaboracin del Plan de Integracin. Incluye el diseo de Interfaces con los sistemas con los cuales se integrar el sistema de informacin en desarrollo. Elaboracin de los diversos diagramas y documentacin, de acuerdo a la metodologa elegida. Elaboracin de los diversos planes sugeridos por la ISO/IEC 12207: Plan de Pruebas. Plan de Gestin de la Configuracin. Plan de Configuracin de la Infraestructura. Plan de Aseguramiento de la Calidad. Plan de Control de Calidad. Plan de Revisin Conjunta. Plan de Validacin. Plan de Integracin del Software. Plan de Instalacin del Software. Plan de Migracin de Datos. Plan de Retirada del Software. Plan de Formacin. Elaboracin de Manuales Tcnicos.

g) Implementacin. Verificar la inclusin de las siguientes actividades, aplicables si el proyecto de compra incluye desarrollo de nuevas funcionalidades: Elaboracin de especificaciones tcnicas o seudocdigos. Actividades de programacin de cada uno de los mdulos. h) Integracin y Pruebas. Verificar la inclusin de las siguientes actividades: Integracin de las diversas aplicaciones. Pruebas del Sistema Completo. Estas pruebas las debe realizar tanto personal de sistemas como personal del comit de usuarios. Deben estar incluidas las siguientes pruebas (que deben pertenecer a un Plan de Pruebas): Pruebas de Interfase Grfica de Usuario. Pruebas de Caja Negra. Pruebas de Caja Blanca. Pruebas de Integracin (Ascendente y Descendente). Pruebas de Resistencia o Estrs. Pruebas de Seguridad. Pruebas de Pistas de Auditora. i) Implantacin. Verificar la inclusin de las siguientes actividades: Elaboracin de Manuales de Usuario. Instalacin y Configuracin del sistema de informacin. Migracin de los datos. Capacitacin al Usuario. Mantenimiento. Verificar la inclusin de actividades de ajuste a los mdulos desarrollados. 104

j)

K. Verificar la inclusin de actividades formales de revisin y correccin errores al final de cada etapa descrita en el punto J. L. Verificar la inclusin de actividades formales de documentacin, por lo menos al final de cada etapa descrita en el punto J.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. No existe un comit de usuarios ni un lder de usuarios formal. B. Los usuarios no se comprometen con el proyecto. C. No se elaboran bien las especificaciones funcionales del proyecto. D. No se elaboran planes de pruebas para los proyectos de compra de sistemas de informacin. E. No se elaboran planes de migracin de datos para los proyectos de compra de sistemas de informacin. F. No se elaboran planes para la elaboracin de interfases del sistema de informacin a comprar con los dems sistemas existentes en la organizacin. G. Los planes indicados en los puntos D, E F se hacen de manera muy rpida, luego de la etapa de implementacin, cuando el problema ya es evidente. H. No se ejecutan todas las pruebas necesarias para asegurarnos que el sistema no falle. Esto se debe en gran parte a que no se tiene un plan de pruebas y lo nico que queda despus es tratar de probar las cosas con las mejoras intenciones. Esto no permite reducir al mnimo la existencia de errores. I. No se ejecutan pruebas.

J. Las pruebas las ejecuta directamente el usuario cuando el sistema ya est implantado. K. No se incluyen actividades formales de revisin y correccin de errores. L. No se incluyen actividades formales de documentacin o la documentacin es dejada para el final. M. Las actividades no se detallan al mximo y aparecen definidas en funcin de das o semanas. N. No se capacita adecuadamente al usuario sobre las funcionalidades del sistema. O. El nmero de cotizaciones resulta insuficiente para hacer una adecuada evaluacin. A veces se decide por un nico proveedor, dado que no se convoc a otros.

105

P. Las evaluaciones de los proveedores son manipuladas para favorecer a uno de los proveedores. Q. Los contratos comnmente estn mal diseados. Faltan una serie de clusulas que podran proteger a la organizacin contra diversos riesgos. R. Cuando los contratos estn bien diseados, diversas partes del documento no se cumplen: asignacin de las personas indicadas originalmente para la consultora, cobro de penalidades por atrasos, pagos adicionales al proveedor no estipulados en el contrato inicial, etc. Q. No se desarrollan los planes que sugieren las buenas prcticas del PMBOK. En muchos casos ni siquiera los planes indispensables, relacionados al alcance, tiempo y costo.

P008: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CONTINGENCIAS DE INFORMTICA


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin4 del Plan de Contingencias de Informtica, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Equipo de Elaboracin del Plan de Contingencias de Informtica. B. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Contingencias de Informtica. C. Verificacin de la alineacin del Plan de Contingencias de Informtica al Plan Estratgico de la Organizacin. D. Revisin del documento de Plan de Contingencias de Informtica elaborado. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Contingencias de Informtica. El alcance del procedimiento no incluye: A. Revisin del Plan de Continuidad de Negocio.

Ejecucin. Aqu nos referimos a la ejecucin de pruebas y a la ejecucin real ante una contingencia (de haberse producido esta contingencia en el perodo en evaluacin).

106

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en la elaboracin del Plan de Contingencias con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de la Organizacin. C. Plan Estratgico de Tecnologas de informacin. D. Anlisis de Generacin de Valor del Plan de Contingencias de Informtica. E. Presupuesto detallado para la Elaboracin del Plan de Contingencias de Informtica. F. Actas de reuniones del equipo de elaboracin del Plan de Contingencias de Informtica. G. Diagramas de Gantt para la elaboracin del Plan de Contingencias de Informtica. H. Plan de Contingencias de Informtica. I. Diagramas de Gantt para la ejecucin del Plan de Contingencias de Informtica. J. Presupuesto detallado para la ejecucin del Plan de Contingencias de Informtica. K. Documento de mejoras propuestas para el Plan de Contingencias de Informtica.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del Equipo de Elaboracin del Plan de Contingencias de Informtica. Este equipo debe estar conformado por: Personal clave del rea que realiza la gestin de tecnologa de informacin. Personal clave de las reas cuyos procesos sern soportados durante la contingencia. C. Verificar la alineacin del Plan de Contingencias de Informtica al Plan Estratgico de la Organizacin. Se debe verificar que priorice la cobertura de los procesos para no atrasar la ejecucin de los proyectos estratgicos de la organizacin, adems de los procesos principales para que la organizacin opere en un nivel suficiente. D. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Contingencias de Informtica. E. Revisar el documento de Plan de Contingencias de Informtica elaborado. Se debe verificar que tenga informacin con la cantidad y claridad suficientes para una exitosa ejecucin ante una contingencia. Revisar que se haya detallado: a) Evaluacin para priorizar las procesos que sern soportados durante el Plan de Contingencias de Informtica.

107

b) Informacin General: Objetivo del Plan de Contingencias. Alcance del Plan de Contingencias. Definicin de Contingencia. Conceptos de Declaracin de Contingencia y Notificacin. Criterios para declarar la contingencia. Notificacin al Centro de Cmputo Alterno Externo o al personal que administra el Centro de Cmputo Alterno Interno. Notificacin a la compaa que almacena las copias de respaldo. Notificacin a los proveedores de los equipos y servicios para la recuperacin. Notificacin al resto de personal de la organizacin. Notificacin a los medios de comunicacin. Punto de reunin durante la contingencia. Debe ser diferente a la ubicacin de la empresa, lejos del impacto de la contingencia. Pueden ser varios puntos de reunin. c) Organizacin del Trabajo para la Ejecucin del Plan. Se debe tener las formas de localizacin (direcciones y telfonos de casa, oficina, celulares, etc.) de: Equipo gerencial. Equipos de Usuarios. Equipo de Informtica. Equipo del rea encargada de las comunicaciones. Equipo de seguridad y apoyo a emergencias.

Para cada equipo se debe tener detallado: objetivos, competencias y responsabilidades antes, durante y despus de ocurrida la contingencia. d) Identificacin de Aplicaciones crticas. e) Procedimientos detallados para llevar a cabo la Ejecucin del Plan de Contingencias. Por lo menos debe estar definido: Procedimiento General para la ejecucin del Plan de Contingencias. Procedimiento para la Preparacin del Centro de Cmputo Alterno para que soporte las operaciones durante la contingencia. Procedimiento para la Identificacin, Evaluacin y Declaracin de Contingencia. Procedimiento para Notificacin de Contingencia y Activacin de los equipos de trabajo. Procedimiento para el traslado de personal y suministros al Centro de Cmputo Alterno. Procedimiento para la Puesta en Produccin del Centro de Cmputo Alterno. Procedimiento para la Recuperacin de la Central Telefnica. Procedimiento para la Recuperacin de las Tecnologas de informacin. Hace referencia a: Procedimiento para la Recuperacin de las tecnologas de base. Procedimiento para la Recuperacin de los sistemas de informacin. Procedimiento para la Restauracin de los Datos. Procedimiento para la Recuperacin Manual (data hurfana). Procedimiento para la Sincronizacin de Datos. Procedimiento para la operacin en lnea del centro de cmputo alterno.

108

Detalle de cmo se realizarn las actividades luego de la operacin en lnea del centro de cmputo alterno. Debe describirse: Secuencia de actividades dentro de la recuperacin. Nombre de actividad. Identifica las actividades por equipo de recuperacin. Descripcin breve de la actividad a ser ejecutada. Referencias de documentos relacionados con la actividad. Comentario del lder de cada equipo acerca de la ejecucin de la tarea al momento de la recuperacin. f) Procedimiento de Pruebas del Plan de Contingencias. Por lo menos debe estar definido: Objetivo de las pruebas. Participantes. Cronograma de ejecucin. Supuestos. Actividades. Coordinacin y notificacin a equipos. Procesos sin sistemas. Activacin del Centro de Cmputo Alterno. Sincronizacin de informacin. Procesos con sistemas. Cierre de prueba. Evaluacin de resultados. Actualizacin del Plan de Recuperacin.

g) Procedimiento de Mantenimiento del Plan de Contingencias. Por lo menos debe estar definido: Mtodo de Administracin de Cambios. Bitcora de Cambios. F. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Contingencias.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El Plan de Contingencias de Informtica es una copia de un documento netamente acadmico y no contiene el desarrollo de procedimientos detallados para la ejecucin de actividades especficas durante una contingencia. B. El Plan de Contingencias de Informtica es un documento con varias carencias de forma y fondo. C. La elaboracin del Plan de Contingencias de Informtica es encargada a una empresa consultora que prepara el documento sin llevar a la realidad los procesos descritos. Comnmente le hacen correcciones a documentos de otros clientes que tienen en su archivo, y eso lo entregan como Plan de Contingencias de Informtica para la empresa. D. No se prueba el Plan de Contingencias de Informtica.

109

E. Las pruebas del Plan de Contingencias de Informtica no se hacen de manera adecuada.

P009: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CONTINUIDAD DE NEGOCIO


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin5 del Plan de Continuidad de Negocio de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Equipo de Elaboracin del Plan de Continuidad. B. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Continuidad de Negocio. C. Verificacin de la alineacin del Plan de Continuidad de Negocio al Plan Estratgico de la Organizacin. D. Revisin del documento elaborado como Plan de Continuidad de Negocio. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Continuidad de Negocio. El alcance del procedimiento no incluye: A. Evaluacin del Plan de Contingencias de Informtica.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en la elaboracin y ejecucin del Plan de Contingencias de Informtica con sus respectivos telfonos, anexos y correos para contactarlos. B. Lista de personas que participan o han participado en la elaboracin y ejecucin del Plan de Continuidad de Negocio con sus respectivos telfonos, anexos y correos para contactarlos. C. Plan Estratgico de la Organizacin.
5

Ejecucin. Aqu nos referimos a la ejecucin de pruebas y a la ejecucin real luego de una contingencia (de haberse producido esta contingencia en el perodo en evaluacin).

110

D. E. F. G. H. I. J. K. L. M. N. O. P.

Plan Estratgico de Tecnologas de informacin. Anlisis de Generacin de Valor del Plan de Continuidad de Negocio. Presupuesto detallado para la Elaboracin del Plan de Continuidad de Negocio. Actas de reuniones del equipo de elaboracin del Plan de Continuidad de Negocio. Diagramas de Gantt para la elaboracin del Plan de Continuidad de Negocio. Plan de Contingencias de Informtica. Plan de Continuidad de Negocio. Diagramas de Gantt para la ejecucin del Plan de Contingencias de Informtica. Diagramas de Gantt para la ejecucin del Plan de Continuidad de Negocio. Presupuesto detallado para la ejecucin del Plan de Contingencias de Informtica. Presupuesto detallado para la ejecucin del Plan de Continuidad de Negocio. Documento de mejoras propuestas para el Plan de Contingencias de Informtica. Documento de mejoras propuestas para el Plan de Continuidad de Negocio.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del Equipo de Elaboracin del Plan de Continuidad de Negocio. Este equipo debe estar conformado por: Personal clave del rea de tecnologa de la informacin. Personal clave de las reas cuyos procesos sern soportados despus de la contingencia. C. Verificar la alineacin del Plan de Continuidad al Plan Estratgico de la Organizacin. Se debe verificar que priorice la cobertura de los procesos para no atrasar la ejecucin de los proyectos estratgicos de la organizacin, adems de los procesos principales para que la organizacin vuelva a tener por lo menos el nivel de servicio anterior. D. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Continuidad de Negocio. E. Revisar el documento de Plan de Continuidad de Negocio. Se debe verificar que tenga informacin con la cantidad y claridad suficientes para una exitosa ejecucin luego de una contingencia. Revisar que se haya detallado: a) Identificacin de riesgos de la organizacin. Incluye: riesgos de mercado, riesgos de operacin, riesgos de crdito, riesgos financieros, etc. b) Anlisis cualitativo de riesgos. c) Anlisis cuantitativo de riesgos. d) Determinacin de los escenarios de contingencia de los cuales la organizacin se va a proteger.

111

e) Verificar que los escenarios de contingencia determinados, cubran los que se requiere de acuerdo a la legislacin o normatividad vigente de los organismos reguladores. f) Verificar que el documento, por cada escenario de contingencia y proceso crtico de negocio a proteger (crticos relacionados a la tecnologa de informacin y crticos no relacionados a la tecnologa de informacin), incluya las estrategias para la continuidad del negocio. Para cada proceso crtico se debe verificar que se haya establecido los tiempos de recuperacin: RPO (Recovery Point Objective), RTO (Recovery Time Objective), WRT (Work Recovery Time) y MTD (Maximum Tolerable Downtime).

g) Verificar que se haya desarrollado el Plan de Reanudacin de Operaciones. h) Verificar la documentacin de las Pruebas del Plan de Continuidad de Negocio. i) Verificar que se haya incluido la siguiente informacin: Informacin General del Plan de Continuidad de Negocio. Organizacin del Plan Objetivos del Plan Alcances del Plan Procesos y subprocesos de negocio Definicin de Contingencia Notificacin a los equipos de usuarios. Punto de reunin en situacin de contingencia Recursos requeridos para el Plan de Continuidad de Negocio Equipos de Trabajo Organizacin de Equipos de Usuarios para la Recuperacin Equipos de Contingencia Lder de Equipo Objetivo Habilidades Requeridas Nombre y Cargo Responsabilidades antes de la contingencia Responsabilidades durante la contingencia Responsabilidades despus de la contingencia Actividades del Lder de Equipo Notificacin de la contingencia Notificacin de retorno a la normalidad de las operaciones Coordinador de Equipo de Usuarios Objetivo Habilidades requeridas Integrantes Responsabilidades antes de una contingencia Responsabilidades durante la contingencia Responsabilidades despus de la contingencia Actividades del Coordinador de Equipo Activacin de los equipos de trabajo / notificacin de la contingencia

112

Validacin de Insumos Requeridos para la Operacin en Modalidad de Contingencia Equipo de Usuarios Objetivo Habilidades requeridas Integrantes Responsabilidades antes de una contingencia Responsabilidades durante la contingencia Responsabilidades despus de la contingencia

Ejecucin del Plan de Recuperacin Introduccin Actividades del Plan de Recuperacin Enunciado del Proceso 1 Enunciado del Proceso 2 Secuencia de Recuperacin considerando los equipos de trabajo habilitados Notificacin de la Contingencia Activacin de los equipos de trabajo / notificacin de la contingencia Validacin de Insumos y Suministros para operar en modalidad de contingencia Operacin en Modalidad de Contingencia Enunciado del Proceso 1 Enunciado del Proceso 2 Reingreso de Data Hurfana y Carga de Informacin Cronograma de Actividades

F. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Continuidad de Negocio.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El Plan de Continuidad de Negocio es una copia de un documento netamente acadmico y no contiene el desarrollo de procedimientos detallados para la ejecucin de actividades especficas luego de haber pasado la contingencia. B. Los escenarios de contingencia que cubre el Plan de Continuidad de Negocio, son insuficientes para cubrir las operaciones de negocio, ante catstrofes: incendio del edificio de la compaa, terremotos, etc. C. El Plan de Continuidad de Negocio es un documento con varias carencias de forma y fondo. D. La elaboracin del Plan de Continuidad es encargada a una empresa consultora que prepara el documento sin llevar a la realidad los procesos descritos. Comnmente le hacen correcciones a documentos de otros clientes que tienen en su archivo, y eso lo entregan como Plan de Continuidad para la empresa. E. No se prueba el Plan de Continuidad de Negocio.

113

F. Las pruebas del Plan de Continuidad de Negocio no se hacen de manera adecuada. F. Comnmente es confundido con el Plan de Contingencias de Informtica.

P010: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE SEGURIDAD DE LA INFORMACIN


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Seguridad de la Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del Equipo de Elaboracin del Plan de Seguridad de la Informacin. B. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Seguridad de la Informacin. C. Verificacin de la alineacin del Plan de Seguridad de la Informacin al Plan Estratgico de Informtica. D. Revisin del documento del Plan de Seguridad de la Informacin. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Seguridad de la Informacin. F. Verificacin de la implementacin de las acciones indicadas en el Plan de Seguridad de la Informacin. El alcance del procedimiento no incluye: A. Evaluacin de los ataques de intrusos u otros problemas de seguridad de la informacin que hubieran ocurrido durante el perodo en evaluacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en la elaboracin del Plan de Seguridad de la Informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de Informtica. 114

C. Anlisis de Generacin de Valor del Plan de Seguridad de la Informacin. D. Presupuesto detallado para la Elaboracin del Plan de Seguridad de la Informacin. E. Actas de reuniones del equipo de elaboracin del Plan de Seguridad de la Informacin. F. Diagramas de Gantt para la elaboracin del Plan de Seguridad de la Informacin. G. Plan de Seguridad de la Informacin. H. Diagramas de Gantt para la ejecucin de las acciones del Plan de Seguridad de la Informacin, con su respectiva asignacin de responsabilidades. I. Presupuesto detallado para la ejecucin de las acciones del Plan de Seguridad de la Informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin del Equipo de Elaboracin del Plan de Seguridad de la Informacin. Este equipo debe estar conformado por personal asignado especialmente para esa labor por parte del rea de Tecnologa de la Informacin; sin embargo, de este equipo el lder es slo un miembro del Comite de Seguridad de la Informacin, equipo conformado por personal gerencial de diversas reas de la organizacin, capaz de determinar polticas y sanciones ante faltas a la seguridad de la informacin. El equipo deber coordinar con las dems reas de la empresa y con la Unidad de Riesgos. C. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin del Plan de Seguridad de la Informacin. D. Verificar la alineacin del Plan de Seguridad de la Informacin al Plan Estratgico de Informtica. Se debe verificar que priorice la seguridad de los procesos crticos de la organizacin, colocando las medidas de seguridad mximas para evitar que se lleven la informacin, teniendo en cuenta los siguientes elementos: Desventajas competitivas. Analizar Cunto dao se podra causar a la organizacin, si la informacin cayera en manos del competidor? Prdida directa del negocio. Analizar si se perdera ingresos o utilidades si la informacin es divulgada, daada o perdida. Prdida o dao en la confianza e imagen pblica. Si la informacin es divulgada, Cunto dao provocara en la confianza del cliente, la imagen pblica o la lealtad de los accionistas o proveedores? Dao en la moral. Si la informacin es divulgada o perdida, Cul sera el impacto en la moral o motivacin del personal? Fraude. Analizar si ocurre el riesgo de fraude en la manipulacin de bienes o fondos, si la informacin es divulgada o alterada.

115

Decisiones gerenciales equivocadas. Analizar si se podran tomar decisiones equivocadas como resultado de errores en cambios de informacin no autorizados. Interrupcin de las operaciones de negocio. Analizar Qu aplicaciones son bsicas para que el negocio no se vea interrumpido? Responsabilidad Legal. Analizar si la divulgacin de informacin podra resultar en un problema legal, regulatorio o de cumplimiento de obligaciones contractuales. Prdida de privacidad. Analizar si el usuario podra sufrir personalmente por prdida de privacidad o uso no autorizado de su identidad. Riesgo de Seguridad Personal. Analizar si los registros incorrectos podran poner en riesgo la salud o la vida de los usuarios. E. Revisar el documento de Plan de Seguridad de la Informacin. Verificar que se haya detallado acciones para proteger a la organizacin de lo siguiente: a) Seguridad Lgica de la Informacin. Riesgos de la Seguridad por uso inadecuado del equipo de cmputo. Trojan Horse programs. Back door and remote administration programs. Denial-of-Service attacks. Ser intermediario de ataques a otras organizaciones. Compartir redes de Windows no protegidas. Programas con extensiones de archivo ocultas. Proteccin contra uso inadecuado de cdigo fuente de Java, JavaScript o ActiveX por parte de intrusos, tanto en pginas accedidas a travs del explorador de Internet como en el correo electrnico. Virus en archivos adjuntos en el correo electrnico. Hurto de identidad e informacin personal (financiera o no financiera). Cross-site scripting. E-mail spoofing. Chat Clients. Packet Sniffing. Tunneling. Zombies. Spyware. Adware. Violaciones de Reglas y Regulaciones. Propiedad Intelectual. Uso decente del Internet. Espionaje Industrial. Otras reglas y Regulaciones. Accidentes. Problemas en el software de base. Problemas en los sistemas de informacin.

116

Polticas para otorgar accesos (se pueden otorgar de manera lgica) a: Unidades de diskette. Lectoras de CD. Grabadoras de CD. Grabadoras de DVD. Envo de correos a direcciones de otras organizaciones. Chats. Memorias USB. Correo Electrnico Gratuito u otros correos diferentes al correo oficial de la organizacin. Carga de archivos en pginas web. Panel de control de las computadoras. Instalacin de programas en la computadora por parte del usuario. Visualizacin de los nombres de las pginas web que estn siendo accedidas a travs del explorador de Internet. Visualizacin del cdigo fuente de las pginas web desarrolladas en el explorador de Internet. Carpetas compartidas de los servidores. Software de base usado en la organizacin. Sistemas de Informacin de la organizacin. Revisin peridica de los registros de transacciones para verificar si ocurrieron cambios no autorizados en los accesos otorgados. Configuracin del firewall. Restriccin de accesos a sitios web no autorizados. Restriccin de accesos a FTP. Intentos de ataque de intrusos. Ataques ocurridos y no detectados. Vigencia de las reglas de seguridad definidas. Revisin peridica del registro de transacciones del firewall. Configuracin del software antispam. Claridad de las reglas definidas. Vigencia de las reglas de seguridad definidas. Correos filtrados. Revisin peridica del software antispam. Copias de respaldo de la informacin. Tiempo de demora de la elaboracin de copias de respaldo. Cronograma de elaboracin de copias de respaldo. Uso de equipos adecuados para las copias de respaldo. Ubicacin adecuada de las copias de respaldo: una copia en un ambiente fsico del rea de Tecnologa de la Informacin, otra copia en un ambiente fsico de otra rea y otra copia en un ambiente fsico fuera de los locales de la organizacin. Considerar que deben ubicarse las copias en lugares con las condiciones adecuadas de temperatura y humedad dadas por los fabricantes de los dispositivos de almacenamiento. Si la copia de respaldo se aloja en un proveedor, verificar las instalaciones del proveedor. Tiempo de demora en la restauracin de la copia de respaldo en el centro de cmputo alterno. Verificacin de las tareas de los backups, para ver si se han realizado correctamente.

117

Software para apagado automtico de los servidores ante un corte de fluido elctrico (aunque no es necesario si hay UPS y los vigilantes conmutan al uso de energa elctrica con un generador, apenas ocurre el problema).

b) Seguridad Fsica de la Informacin: Acceso de Personas. Identificacin de las personas que ingresan a las instalaciones. Escolta de las personas que ingresan a las instalaciones. Claves de seguridad en las puertas de acceso a las oficinas y centros de cmputo. Correcto estado de las puertas de acceso a las oficinas y centros de cmputo. Suministro de energa elctrica de los equipos de cmputo. Estabilizacin de la lnea de voltaje de los equipos de cmputo. Uso de una lnea de voltaje para los equipos de cmputo que sea diferente de las lneas de voltaje que se usen para otros fines en la organizacin. Uso de equipos UPS por lo menos en las salas de cmputo uso de generadores de voltaje para dichas instalaciones con procedimientos claros ante una cada del suministro de energa elctrica. Existencia de un pozo de tierra. Mantenimiento peridico del pozo de tierra. Proteccin contra incendios. Extinguidores para incendios originados por equipos electrnicos. Vigencia de los extinguidores de incendios. Suficiencia en cantidad de extinguidores de incendios. Detectores de humo. Correcto funcionamiento de las alarmas contra incendios. Inexistencia de material inflamable en los centros de cmputo, tales como madera, ropa, cuadernos, etc. Condiciones ambientales de las salas de cmputo. Correcto funcionamiento de los equipos de aire acondicionado. Correcto funcionamiento de los medidores de humedad y temperatura. Cableado desordenado con riesgo que lo pisen y se retiren los cables de los switches. Fallas en Hardware. Fallas en disco. Fallas en la fuente de voltaje de la computadora. Fallas en la tarjeta principal. Otras fallas en el hardware. Traslado de Informacin. Normas sobre el traslado de documentos fsicos fuera de los locales de la organizacin. Normas para el ingreso de dispositivos de memoria dentro de la organizacin. Normas para la salida de dispositivos de memoria fuera de la organizacin. 118

F. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Seguridad de la Informacin. Se debe identificar claramente quin ser responsable de la ejecucin de las actividades descritas en el plan. G. Verificacin de la implementacin de las acciones indicadas en el Plan de Seguridad de la Informacin. Revisar si ejecutan las acciones quienes deberan realizarlas o si el personal que las realiza o ha realizado, tiene o tena las competencias necesarias para hacerlo.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan de Seguridad de la Informacin. B. El Plan de Seguridad de la Informacin est enfocado en la Seguridad Lgica; pero, no se han tomado acciones en lo referente a la seguridad fsica. C. Las acciones referentes a la seguridad de la informacin son tomadas para todos los usuarios; excepto, personal del rea de Tecnologa de la Informacin, quienes tienen accesos a: chats, correos gratuitos, etc. D. Las claves de seguridad de acceso a diversas tecnologas de informacin, son conocidas por personas que no necesitan saberlo son cambiadas sin notificar al jefe encargado de ello. E. Errores en la seguridad fsica: Los extinguidores de incendios no son apropiados para apagar incendios de equipos electrnicos. Ej: extinguidores de chorro de agua en lugar de extinguidores de dixido de carbono o polvo qumico seco. Los extinguidores de incendios tienen vencida la fecha de renovacin. Los detectores de humo no han sido probados o no funcionan. Las alarmas contra incendios no han sido probadas o no funcionan. Los equipos UPS no protegen un tiempo suficiente como para soportar la carga de todos los servidores ante un corte de energa elctrica, hasta que conecten el generador. Existencia de material inflamable como ropa, cuadernos, etc. El equipo de aire acondicionado gotea o hace escarcha. Cada cierto tiempo los operadores apagan el aire acondionado cuando trabajan en el mismo ambiente. El cableado se encuentra muy desordenado, con riesgo que lo pisen y se salgan los cables de red de los switches y ocurra interrupciones en el sistema para algunos usuarios. No existe pISO/IEC tcnico o falso piso para el cableado. Los operadores trabajan en el mismo ambiente fsico donde se encuentran los equipos del centro de cmputo. Existen problemas elctricos, sobre todo en edificios antiguos, los cuales afectan al hardware de computadoras, redes y equipos relacionados.

119

P011: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE LICENCIAMIENTO DE SOFTWARE


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Licenciamiento de Software de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del Inventario de Licencias de Software de la organizacin. B. Revisin del Plan de Licenciamiento de Software. C. Revisin del anlisis de generacin de valor del Plan de Licenciamiento de Software. D. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Licenciamiento de Software. El alcance del procedimiento no incluye: A. Evaluacin de lo adecuado de la compra del software con licencia. Por ejemplo, si en lugar de comprar licencias era mejor usar software libre (por razones de costos y rendimiento), no es parte del alcance de la actividad, a no ser que el Plan Estratgico de Informtica lo especifique explcitamente.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario de Licencias de Software. Incluye software de base y sistemas de informacin. B. Plan Estratgico de Informtica. C. Plan de Licenciamiento de Software. D. Anlisis de Generacin de Valor del Plan de Licenciamiento de Software. E. Diagramas de Gantt para la ejecucin de las actividades del Plan de Licenciamiento de Software, con su respectiva asignacin de responsabilidades. F. Presupuesto detallado para la ejecucin de las actividades del Plan de Licenciamiento de Software.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. 120

B. Revisar detalladamente el Inventario de Licencias de Software. Realizar lo siguiente: a) Verificar que todos y cada uno de los software que se usan en la organizacin estn en la relacin. Esto incluye: Sistemas operativos en servidores. Sistemas operativos en clientes. Servidor proxy. Servidores de bases de datos. Servidores Web. Servidores de Correo. Clientes de Correo. Software para realizacin de copias de respaldo. Software de Oficina. Sistemas de Informacin. Software antispam. Software especializado que administra equipos electrnicos, etc.

b) Verificar que se haya indicado la cantidad de usuarios que cubre la licencia y la cantidad de usuarios que actualmente usa el software. Si es un software libre, software freeware o software shareware, se debe indicar ello en la relacin. c) Consultar el detalle de uso (relacin de usuarios y reas) de las licencias de software ms costosas, aquellas licencias de software que se usen en mayor cantidad, y aquellas licencias de software que en mayor proporcin y valor no tengamos licenciadas. La cantidad no es estndar; por lo tanto, usar el razonamiento y la intuicin para determinar las cantidades de software a revisar. C. Revisar detalladamente el Plan de Licenciamiento. Verificar lo siguiente: a) La alineacin del Plan de Licenciamiento de Software con el Plan Estratgico de Informtica. Las compras de licencias de software deben tener concordancia con la estrategia de informtica de la organizacin. Por ejemplo, si la estrategia de informtica indica la instalacin de software libre para uso de oficina como Open Office para ahorrar gastos innecesarios en licencias de este tipo, se entiende que no se debera comprar licencias de MS Office, Lotus Smart Suite u otro software propietario de oficina. b) En el caso de las compras vlidas de licencias de software, considerar que el nmero de licencias a comprar debe considerar el nmero de licencias que faltan mas un nmero de licencias prudencial para proyectar un crecimiento de usuarios de por lo menos un ao. De esa manera se podra lograr un precio mejor por la licencia y evitar comprarla de manera individual despus (el costo sera mucho mayor). D. Revisin del anlisis de generacin de valor del Plan de Licenciamiento de Software. Verificar que el Plan de Licenciamiento realmente genere valor para la organizacin,

121

E. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Licenciamiento de Software. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan de Licenciamiento de Software. B. La organizacin no tiene un inventario actualizado del software que utiliza. C. El Plan de Licenciamiento de Software est incompleto. D. No se tiene licencias de la mayora del software propietario que se usa en la organizacin. E. El Plan de Licenciamiento est enfocado en la compra de software que actualmente se usa, sin considerar otras alternativas que costaran menos o no costaran ms que la capacitacin al personal o quizs unas cuantas horas de bsqueda y lectura de informacin en Internet (como el uso de software libre).

P012: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CAPACITACIN


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Capacitacin para el rea de Tecnologa de la Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Capacitacin del rea de Tecnologa de la Informacin. B. Revisin del alineamiento del Plan de Capacitacin al Plan Estratgico de Tecnologas de informacin. C. Revisin del currculum vitae del personal del rea de Tecnologa de la Informacin. D. Revisin del documento del Plan de Capacitacin del rea de Tecnologa de la Informacin. E. Revisin del anlisis de generacin de valor del Plan de Capacitacin del rea de Tecnologa de la Informacin. 122

F. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Capacitacin. El alcance del procedimiento no incluye: A. Evaluacin de lo adecuado de la tecnologa o proceso de gestin sobre lo cual se est capacitando.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario de competencias del personal contratado directamente por la organizacin, o por personal contratado a travs de un proveedor. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores y practicantes. C. Plan de Capacitacin del rea de Tecnologa de la Informacin. D. Diagramas de Gantt para la ejecucin de las actividades del Plan de Capacitacin, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del Plan de Capacitacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de elaboracin del Plan de Capacitacin del rea de Tecnologa de la Informacin. Verificar que se haya realizado lo siguiente: a) Solicitud a cada jefe de rea de las necesidades de capacitacin para el perodo del plan. b) Inclusin del personal clave en la capacitacin. c) Relacin de temas en los cuales se necesita capacitar al personal. d) Una bsqueda adecuada de organizaciones en las cuales se ofrecen cursos sobre los temas a capacitar. Deben existir varias opciones por cada tema. e) Elaboracin del documento del Plan de Capacitacin. C. Revisar los currculum vitae del personal del rea de Tecnologa de la Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar el documento del Plan de Capacitacin del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente:

123

a) Un inventario de las competencias6 del personal, de manera previa a la fecha de vigencia del Plan de Capacitacin. De no existir, verificar a travs de la entrevista, que por lo menos se haya realizado una consulta de conocimientos o revisin de currculum vitae del personal. b) Una relacin de competencias ideales del personal para el final del perodo de tiempo que tendr vigencia el Plan de Capacitacin. c) Una relacin de cursos, talleres o conferencias, necesarias para lograr las competencias esperadas, considerando el presupuesto, el tiempo y el personal que se requiera. d) Presupuesto del Plan de Capacitacin. e) Cronograma y Asignacin de Responsabilidades. E. Revisar el alineamiento del Plan de Capacitacin al Plan Estratgico de Informtica. El Plan de Capacitacin debe estar enmarcado en los lineamientos del Plan Estratgico de Informtica tanto en lo referente a la tecnologa de informacin (tanto hardware como software) que regir en el futuro (teniendo en cuenta tambin la tecnologa actual), como aquellas metodologas de gestin de proyectos y gestin de procesos de desarrollo de tecnologas de informacin. F. Revisar el anlisis de generacin de valor del Plan de Capacitacin. Verificar que el Plan de Capacitacin realmente genere valor para la organizacin; es decir, que como resultado de la capacitacin, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. G. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Capacitacin. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan de Capacitacin para el rea de Tecnologa de la Informacin. Comnmente lo que hacen es entregar un detalle de las capacitaciones que han recibido en el perodo en evaluacin; sin embargo, estas capacitaciones no estuvieron enmarcadas dentro de un plan. B. La organizacin no tiene los currculum vitae actualizados del personal contratado a travs de un proveedor. C. El Plan de Capacitacin est enfocado principalmente en capacitar sobre el software que van a usar y no sobre temas de gestin o temas referentes al proceso sobre el cual se va a desarrollar los sistemas de informacin, lo cual es necesario para los cargos de analistas funcionales, jefes de proyecto, analistas programadores y programadores.

Competencias. Este trmino refiere a los conocimientos, habilidades y actitudes del personal, necesarias para un adecuado desempeo laboral.

124

P013: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE MANTENIMIENTO PREVENTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS
OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Mantenimiento Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Mantenimiento Preventivo del Hardware de Computadoras, Redes y Equipos Relacionados7. B. Revisin del alineamiento del PMPHCRER al Plan Estratgico de Informtica8. C. Revisin del documento del PMPHCRER. D. Revisin del anlisis de generacin de valor del PMPHCRER. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMPHCRER. El alcance del procedimiento no incluye: A. Evaluacin del Plan de Mantenimiento Correctivo Computadoras, Redes y Equipos Relacionados. de Hardware de

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario del hardware de computadoras, redes y equipos relacionados. B. Listado del hardware de computadoras, redes y equipos relacionados, que requieran mantenimiento preventivo, clasificado de acuerdo a quien le debe realizar dicho mantenimiento (personal de la organizacin o un proveedor). C. Fechas e informes de los ltimos mantenimientos preventivos o correctivos que se haya realizado sobre los equipos. D. Diagramas de Gantt para la ejecucin de las actividades del PMPHCRER, con su respectiva asignacin de responsabilidades.
7

En adelante se identificar al Plan de Mantenimiento Preventivo de Hardware de Computadoras, Redes y Equipos Ambientales con las iniciales PMPHCRER. 8 En adelante se identificar al Plan Estratgico de Informtica con las iniciales PEI.

125

E. Presupuesto detallado para la ejecucin de las actividades del PMPHCRER.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar que la lista de equipos para el mantenimiento preventivo estn incluidos en el inventario de equipos total. En la lista de equipos debe estar detallado: Equipos que forman parte de la computadora o estn directamente conectados a ella: monitores, cases, teclados, mouses, impresoras, scanners, cmaras de computadora, computadoras porttiles, etc. Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Equipos relacionados a la energa elctrica: cajas de control de suministro de energa (caja de cuchillas), pozo de tierra, lnea de voltaje, tomacorrientes, estabilizadores de voltaje, supresor de picos, UPS, etc. Equipos relacionados a las condiciones ambientales: ventiladores de los centros de cmputo, medidores de temperatura, medidores de humedad, etc. Equipos relacionados a la proteccin contra incendios: extinguidores de incendios, detectores de humo, alarma de incendios, etc. Equipos relacionados a la seguridad: puertas de acceso con llave, puertas de acceso con clave de seguridad, etc. C. Verificar la inclusin de todos los equipos que comnmente requieren mantenimiento preventivo en la lista entregada. D. Revisar el proceso de elaboracin del PMPHCRER. Verificar que se haya realizado lo siguiente: a) b) c) d) e) f) g) Determinacin clara de los criterios para la evaluacin y priorizacin de las necesidades de mantenimiento preventivo. Evaluacin de las necesidades de mantenimiento preventivo para el perodo del plan. Priorizacin de las necesidades de mantenimiento preventivo para el perodo del plan. Determinacin de qu mantenimientos preventivos sern realizados por personal de la organizacin o por proveedores. Identificacin de varios proveedores alternativos para la ejecucin de los mantenimientos preventivos. Elaboracin del documento del PMPHCRER. Asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de las acciones del PMPHCRER.

E. Revisar el documento del PMPHCRER. Verificar que contenga por lo menos lo siguiente: a) b) Listado de equipos que necesitan mantenimiento preventivo. Criterios para evaluar y priorizar las necesidades de mantenimiento preventivo.

126

c) d)

Evaluacin y priorizacin de las necesidades de mantenimiento preventivo. Presupuesto, Cronograma y Asignacin de Responsabilidades.

F. Revisar el alineamiento del PMPHCRER al PEI. El PMPHCRER debe estar enmarcado en los lineamientos del PEI, teniendo en cuenta no slo la tecnologa actual, sino aquellas que sern de mayor beneficio para la organizacin en el futuro. G. Revisar el anlisis de generacin de valor del PMPHCRER. Verificar que el PMPHCRER realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. H. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMPHCRER. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PMPHCRER. Comnmente lo que hacen es entregar un detalle de los mantenimientos realizados en el perodo en evaluacin; sin embargo, estos mantenimientos no estuvieron enmarcados dentro de un plan. B. La organizacin no solicita informes de los mantenimientos preventivos realizados a los proveedores. C. La organizacin no elabora informes de los mantenimientos preventivos realizados por personal que ha contratado directamente. D. La organizacin omite realizar mantenimiento preventivo de algunos equipos crticos.

P014: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE MANTENIMIENTO CORRECTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS
OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

127

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Mantenimiento Correctivo del Hardware de Computadoras, Redes y Equipos Relacionados9. B. Revisin del alineamiento del PMCHCRER al PEI. C. Revisin del documento del PMCHCRER. D. Revisin del anlisis de generacin de valor del PMCHCRER. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMCHCRER. El alcance del procedimiento no incluye: A. Evaluacin del Plan de Mantenimiento Preventivo Computadoras, Redes y Equipos Relacionados. de Hardware de

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario del hardware de computadoras, redes y equipos relacionados. B. Listado del hardware de computadoras, redes y equipos relacionados, que requieran mantenimiento correctivo, clasificado de acuerdo a quin le debe realizar dicho mantenimiento (personal de la organizacin o un proveedor). C. Fechas e informes de los ltimos mantenimientos preventivos o correctivos que se haya realizado sobre los equipos. D. Diagramas de Gantt para la ejecucin de las actividades del PMCHCRER, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del PMCHCRER.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar que la lista de equipos para el mantenimiento correctivo estn incluidos en el inventario de equipos total. En la lista de equipos debe estar detallado: Equipos que forman parte de la computadora o estn directamente conectados a ella: monitores, cases, teclados, mouses, impresoras, scanners, cmaras de computadora, computadoras porttiles, etc.
9

En adelante se identificar al Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Ambientales con las iniciales PMCHCRER.

128

Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Equipos relacionados a la energa elctrica: cajas de control de suministro de energa (caja de cuchillas), pozo de tierra, lnea de voltaje, tomacorrientes, estabilizadores de voltaje, supresor de picos, UPS, etc. Equipos relacionados a las condiciones ambientales: ventiladores de los centros de cmputo, medidores de temperatura, medidores de humedad, etc. Equipos relacionados a la proteccin contra incendios: extinguidores de incendios, detectores de humo, alarma de incendios, etc. Equipos relacionados a la seguridad: puertas de acceso con llave, puertas de acceso con clave de seguridad, etc. C. Revisar el proceso de elaboracin del PMCHCRER. Verificar que se haya realizado lo siguiente: a) b) c) d) e) f) Determinacin clara de los criterios para la priorizacin de las necesidades de mantenimiento correctivo. Priorizacin de las necesidades de mantenimiento correctivo para el perodo del plan. Determinacin de qu mantenimientos correctivos sern realizados por personal de la organizacin o por proveedores. Identificacin de varios proveedores alternativos para la ejecucin de los mantenimientos correctivos. Elaboracin del documento del PMCHCRER. Asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de las acciones del PMCHCRER.

D. Revisar el documento del PMCHCRER. Verificar que contenga por lo menos lo siguiente: a) b) c) d) Listado de equipos que necesitan mantenimiento correctivo. Criterios para la priorizacin de las necesidades de mantenimiento preventivo. Priorizacin de las necesidades de mantenimiento correctivo. Presupuesto, Cronograma y Asignacin de Responsabilidades.

E. Revisar el alineamiento del PMCHCRER al PETI. El PMCHCRER debe estar enmarcado en los lineamientos del PEI, teniendo en cuenta no slo la tecnologa actual, sino aquellas que sern de mayor beneficio para la organizacin en el futuro. F. Revisar el anlisis de generacin de valor del PMCHCRER. Verificar que el PMCHCRER realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. G. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMCHCRER. Revisar la asignacin planificada y la asignacin real.

129

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PMCHCRER. Comnmente lo que hacen es entregar un detalle de los mantenimientos realizados en el perodo en evaluacin; sin embargo, estos mantenimientos no estuvieron enmarcados dentro de un plan. B. La organizacin no solicita informes de los mantenimientos correctivos realizados a los proveedores. C. La organizacin no elabora informes de los mantenimientos correctivos realizados por personal que ha contratado directamente. D. La organizacin omite realizar mantenimiento correctivo de algunos equipos crticos, los cuales terminan malogrndose por esta negligencia.

P015: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN DE LABORES DE RUTINA RELACIONADAS CON LAS TECNOLOGAS DE INFORMACIN
OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin de la Planificacin de Labores de Rutina relacionadas con las Tecnologas de Informacin10 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin de la PLRTI. B. Revisin del alineamiento de la PLRTI al PEI. C. Revisin del documento de la PLRTI. D. Revisin del anlisis de generacin de valor de la PLRTI. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de la PLRTI. El alcance del procedimiento no incluye: A. Revisin de la planificacin de actividades de proyectos.
10

En adelante se identificar a la Planificacin de las Labores de Rutina relacionadas con las Tecnologas de Informacin con las iniciales PLRTI

130

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. E. Inventario del hardware de computadoras, redes y equipos relacionados. Inventario de software de base. Inventario de sistemas de informacin. Listado de Labores de Rutina que se planifican por rea. Diagramas de Gantt para la ejecucin de las actividades de la PLRTI, con su respectiva asignacin de responsabilidades. F. Presupuesto detallado para la ejecucin de las actividades del PLRTI. PROCESO Las actividades a realizar para llevar a cabo esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el alineamiento de la PLRTI al PEI. Las actividades del PLRTI deben planificarse sobre la base del PEI y cada uno de los planes relacionados. Por lo tanto, slo deberan ejecutarse actividades que ayuden de manera directa o indirecta al logro del PEI. C. Revisar el documento de la PLRTI. Verificar que por lo menos contenga lo siguiente: a) Planificacin de Labores de Rutina relativas a la lnfraestructura de Tecnologa de Informacin o Soporte Tcnico. Debe verificarse labores de rutina para: i. Help Desk. Consultas de usuarios. Instalacin de software de base. Instalacin de piezas y equipos de cmputo y red. Atencin de fallas en hardware de equipos de cmputo y red. Atencin de fallas en software de base instalado. Programacin de Tareas. Cierres peridicos. Tareas de las bases de datos. Tareas referentes a los servidores de correo. Correo. Configuracin de cuentas de correo internas. Configuracin de cuentas de correo externas. Configuraciones de proteccin contra virus. Configuraciones de proteccin contra correos no deseados (spam). Tareas de mantenimiento. Seguridad de la Informacin. Accesos. 131

ii.

iii.

iv.

Accesos Fsicos. Accesos Lgicos. Considerar: Sistemas Operativos, Sistemas de Informacin, Software de Base, Envo de correos Externos, etc. Proteccin contra intrusos. Proteccin contra correos no deseados. Proteccin contra cdigo malicioso: virus, worm, spyware, adware, etc. Copias de respaldo de la informacin. Incluir: Bases de datos. Archivos de usuarios. Carpetas compartidas en servidores. Configuraciones de Servidores. Correo Electrnico. Software de Base. Cdigo fuente de desarrollos de sistemas de informacin, etc.

b) Planificacin de Labores de Rutina relativas a los sistemas de informacin. Revisar que se haya planificado y organizado el trabajo de rutina referente a los requerimientos de correcciones o desarrollo de pequeas nuevas opciones sobre los sistemas de informacin existentes. D. Revisar el anlisis de generacin de valor de la PLRTI. Verificar que la PLRTI realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. E. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PLRTI. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene una PLRTI. B. La organizacin tiene una PLRTI incompleta. Comnmente se descuida temas referentes a las copias de respaldo. C. La organizacin pierde correos electrnicos importantes debido a la inadecuada configuracin del software antispam. D. La organizacin es atacada constantemente por cdigo malicioso: virus, worm, spyware, adware, etc. E. La organizacin est desprotegida de ataques de intrusos. Si se tiene software de proteccin contra intrusos, comnmente no est bien configurado o no se revisa constantemente sus archivos de transacciones. F. Existen usuarios que tienen accesos a opciones no autorizadas.

132

P016: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE CALIDAD


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Calidad para el rea de Tecnologa de la Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Calidad del rea de Tecnologa de la Informacin. B. Revisin del alineamiento del Plan de Calidad al PEI. C. Revisin de los currculum vitae del personal del rea de Tecnologa de Informacin. D. Revisin del documento del Plan de Calidad del rea de Tecnologa de Informacin. E. Revisin del anlisis de generacin de valor del Plan de Calidad del rea de Tecnologa de Informacin. F. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Calidad. El alcance del procedimiento no incluye: A. Evaluacin de la metodologa usada como base para el Plan de Calidad.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario de competencias del personal contratado directamente por la organizacin o personal contratado a travs de un proveedor. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores y practicantes. C. Plan de Calidad del rea de Tecnologa de la Informacin. D. Diagramas de Gantt para la ejecucin de las actividades del Plan de Calidad, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del Plan de Calidad.

133

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de elaboracin del Plan de Calidad del rea de Tecnologa de la Informacin. Verificar que se haya realizado lo siguiente: a) b) c) d) Solicitud a cada jefe de rea de las necesidades de mejora de la calidad de procesos para el perodo del plan. Inclusin del personal clave en la capacitacin sobre gestin de la calidad. Relacin de temas en los cuales se necesita capacitar al personal. Una bsqueda adecuada de organizaciones en las cuales se ofrecen cursos sobre los temas a capacitar. Deben existir varias opciones por cada tema. Elaboracin del documento del Plan de Calidad.

e)

C. Revisar los currculum vitae del personal del rea de Tecnologa de Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar el documento del Plan de Calidad del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente: a) Un inventario de las competencias del personal, de manera previa a la fecha de vigencia del Plan de Capacitacin. De no existir, verificar a travs de la entrevista, que por lo menos se haya realizado una consulta de conocimientos o revisin de currculum vitae del personal. b) Una relacin de competencias ideales del personal para el final del perodo de tiempo que tendr vigencia el Plan de Calidad. c) Una relacin de cursos o conferencias, necesarias para lograr las competencias esperadas, considerando el presupuesto, el tiempo y el personal que se requiera. d) Detalle de actividades de Aseguramiento de la Calidad. e) Detalle de Actividades de Control de Calidad. Las actividades de aseguramiento y las actividades de control de calidad deben estar inmersas en las actividades de Soporte Tcnico y en las actividades de Desarrollo y Mantenimiento de Sistemas de Informacin. f) Presupuesto del Plan de Calidad.

g) Cronograma y Asignacin de Responsabilidades. E. Revisar el alineamiento del Plan de Calidad al PEI. El Plan de Calidad debe estar enmarcado en los lineamientos del PEI para cada una de las reas que forman parte del rea de Tecnologa de la Informacin. F. Revisar el anlisis de generacin de valor del Plan de Calidad. Verificar que el Plan de Calidad realmente genere valor para la organizacin; es decir, que 134

como resultado de la ejecucin del Plan de Calidad, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. G. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Calidad. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan de Calidad para el rea de Tecnologa de la Informacin. B. La organizacin no tiene los currculum vitae actualizados del personal contratado a travs de un proveedor. C. Se tiene en cuenta en la planificacin, las actividades de ejecucin de controles de calidad; sin embargo, no se toma en cuenta las actividades de planificacin ni ejecucin de labores de aseguramiento de la calidad.

P017: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE COMPRAS DE TECNOLOGAS DE INFORMACIN


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Compras de Tecnologas de Informacin en la organizacin11, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del PCTI. B. Revisin del alineamiento del PCTI al PEI. C. Revisin del documento del PCTI. D. Revisin del anlisis de generacin de valor del PCTI. E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PCTI.

En adelante se identificar al Plan de Compras de Tecnologas de Informacin con las iniciales PCTI.

11

135

El alcance del procedimiento no incluye: A. Evaluacin del financiamiento o costos relativos al pago de las compras.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. E. F. G. H. I. J. K. L. Plan Estratgico de Informtica. Planes de Proyecto de desarrollo de sistemas de informacin. Planes de Proyecto de compra de sistemas de informacin. Plan de Contingencias de Informtica. Plan de Continuidad de Negocio. Plan de Seguridad de la Informacin. Plan de Licenciamiento de Software. Plan de Capacitacin. Plan de Mantenimiento Preventivo. Plan de Mantenimiento Correctivo. Planificacin de Labores de Rutina. Plan de Calidad.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de elaboracin del PCTI. Verificar que se haya realizado lo siguiente: a) Determinacin clara de los criterios para la priorizacin de las necesidades. b) Identificacin de necesidades de hardware, software de base, sistemas de informacin y servicios relacionados, por cada rea de la organizacin y para la organizacin en su conjunto. c) Elaboracin del documento del PCTI. d) Asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de las acciones del PCTI. C. Revisar el documento del PCTI. Verificar que contenga por lo menos lo siguiente: a) Detalle de los bienes a comprar en unidades y en valores, para cada una de las reas y para la organizacin en su conjunto. b) Detalle de los servicios a comprar en unidades y en valores, para cada una de las reas y para la organizacin en su conjunto. c) Cronograma y Asignacin de Responsabilidades. D. Revisar el alineamiento del PCTI al PEI. El PCTI debe estar enmarcado en los lineamientos del PEI, teniendo en cuenta no slo la tecnologa actual, sino aquellas que sern de mayor beneficio para la organizacin en el futuro. 136

E. Revisar el anlisis de generacin de valor del PCTI. Verificar que el PCTI realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. F. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PCTI. Revisar la asignacin planificada y la asignacin real.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PCTI. B. La organizacin tiene un PCTI muy genrico. No se detalla lo que se va a comprar, tanto en unidades como en valores, ni las marcas ni proveedores alternativos a los cuales se les podra comprar. C. La organizacin prioriza las compras para el corto plazo, evitando inversiones mayores recuperables en el largo plazo.

P018: PROCEDIMIENTO PARA LA AUDITORA DEL REGLAMENTO DE ORGANIZACIN Y FUNCIONES


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin de lo expuesto en el Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin. B. Revisin del currculum vitae del personal del rea de Tecnologa de Informacin. C. Revisin del anlisis de generacin de valor del Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin. El alcance del procedimiento no incluye: A. Revisin del manual de organizacin y funciones.

137

B. Revisin de los manuales de procedimientos.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Tecnologas de Informacin. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores, etc. C. Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el documento del Reglamento de Organizacin y Funciones del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente: a) Antecedentes. Contiene una explicacin genrica del reglamento anterior y los cambios en las necesidades o la evidencia del requerimiento de mejoras para los cambios en el reglamento actual. Marco Jurdico. Indica la base legal para la elaboracin del Reglamento de Organizacin y Funciones. Incluye: constitucin poltica, leyes, decretos legislativos, resoluciones, oficios, circulares, etc. Objetivos. Relacin de objetivos a cumplir que contribuyen a los objetivos estratgicos de la organizacin. Organizacin. Aqu se detalla tanto el organigrama general como el organigrama detallado de cada una de las reas. Perfiles, Atribuciones y Responsabilidades. Aqu se detalla por cada rea qu perfiles, atribuciones y responsabilidades tiene cada una de las reas y puestos que conforman el rea de Tecnologa de la informacin.

b)

c)

d)

e)

Si bien los elementos descritos seran aplicables principalmente en organizaciones del Estado, sera recomendable su adopcin en lo pertinente, en organizaciones privadas. C. Revisar detalladamente los currculum vitae del personal del rea de Tecnologa de Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar el anlisis de generacin de valor del Reglamento de Organizacin y Funciones y su cumplimiento. Verificar que el Reglamento de Organizacin y Funciones realmente genere valor para la organizacin; es decir, que como 138

resultado de su puesta en prctica, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Reglamento de Organizacin y Funciones. Comnmente elaboran un reglamento interno cuando se procede con la auditora. B. La organizacin no tiene los currculum vitae actualizados del personal contratado a travs de un proveedor. Algunas veces ni siquiera tiene actualizados los currculum vitae del personal recientemente contratado. C. El personal no cubra o no cubre los requerimientos para el puesto al momento de ingresar a la organizacin o a la fecha.

P019: PROCEDIMIENTO PARA LA AUDITORA DEL MANUAL DE ORGANIZACIN Y FUNCIONES


OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin de lo expuesto en el Manual de Organizacin y Funciones del rea de Tecnologa de Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del Manual de Organizacin y Funciones del rea de Tecnologa de Informacin. B. Revisin del currculum vitae del personal del rea de Tecnologa de Informacin. C. Revisin de las funciones reales de cada puesto del rea de Tecnologa de Informacin. D. Revisin del anlisis de generacin de valor del Manual de Organizacin y Funciones del rea de Tecnologa de Informacin. El alcance del procedimiento no incluye: A. Revisin de los manuales de procedimientos.

139

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Tecnologas de informacin. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores, etc. C. Reglamento de Organizacin y Funciones del rea de Tecnologa de la Informacin. D. Manual de Organizacin y Funciones.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el documento del Manual de Organizacin y Funciones del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente: a) Antecedentes. Contiene una explicacin genrica de la anterior organizacin y los cambios en las necesidades o la evidencia del requerimiento de mejoras para los cambios en el manual actual. Marco Jurdico. Indica la base legal para la elaboracin del Manual de Organizacin y Funciones. Incluye: constitucin poltica, leyes, decretos legislativos, resoluciones, oficios, circulares, etc. Objetivos. Relacin de objetivos a cumplir con el manual, que contribuyen a los objetivos estratgicos de la organizacin. Organizacin. Aqu se detalla tanto el organigrama general como el organigrama detallado de cada una de las reas. Funciones. Aqu se detalla por cada rea qu funciones generales y especficas realiza cada puesto. Por cada puesto se deber indicar tambin a qu gerencia pertenece y a qu puesto reporta directamente.

b)

c)

d)

e)

C. Revisar detalladamente los currculum vitae del personal del rea de Tecnologa de Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar las funciones reales de cada puesto del rea de Tecnologa de Informacin. Verificar que lo que realmente hacen coincida con lo expuesto en el manual de organizacin y funciones. E. Revisar el anlisis de generacin de valor del Manual de Organizacin y Funciones y su cumplimiento. Verificar que el Manual de Organizacin y Funciones realmente genere valor para la organizacin; es decir, que como resultado de su puesta en prctica, se pueda acelerar la ejecucin de procesos

140

crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Manual de Organizacin y Funciones. Comnmente elaboran un manual sobre la base de los perfiles actuales al momento que se procede con la auditora. B. La organizacin no tiene los currculum vitae actualizados del personal contratado a travs de un proveedor. A veces ni siquiera tiene actualizados los currculum vitae del personal recientemente contratado. C. El personal no cubra o no cubre los requerimientos para el puesto al momento de ingresar a la organizacin o no los cubre a la fecha. D. El personal realiza funciones que no le competen. E. El personal realiza funciones para las cuales no est capacitado.

P020: PROCEDIMIENTO PARA LA EVALUACIN DEL CURRCULUM VITAE DEL PERSONAL DE TECNOLOGA DE LA INFORMACIN
OBJETIVO Analizar y evaluar el currculum vitae del personal del rea de Tecnologa de la Informacin de la organizacin12, con el fin de identificar la probable prdida de valor debido a fallas en los procesos de seleccin de personal.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del currculum vitae del personal del rea de Tecnologa de la Informacin. B. Verificacin del alineamiento del currculum vitae al reglamento de organizacin y funciones y en su defecto, a las necesidades de la organizacin para el perodo en evaluacin. El alcance del procedimiento no incluye: A. Evaluacin de desempeo del personal.

Aqu se considera tanto a personal propio de la organizacin como personal colocado por proveedores.

12

141

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Informtica. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores, etc. C. Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin. D. Manual de Organizacin y Funciones del rea de Tecnologa de Informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente los currculum vitae del personal del rea de Tecnologa de la Informacin. Verificar que cada currculum vitae contenga lo siguiente: a) Datos Personales: nombre completo, direccin, telfonos de contacto (casa, celular, etc.), estado civil, fecha de nacimiento, etc. b) Experiencia Laboral. Listado de lugares y nombres de puestos donde ha laborado el trabajador. Se debe incluir la lista de funciones que realizaba en sus centros de trabajo, as como las herramientas de tecnologas de informacin que utilizaban o han desarrollado. De ser personal joven, considerar tambin las prcticas pre-profesionales. c) Educacin. Considerar la formacin tcnica o universitaria (pregrado y postgrado) del personal evaluado, as como sus capacitaciones, cursos, talleres, charlas y conferencias a las cuales ha asistido. C. Verificar el alineamiento del currculum vitae al Reglamento de Organizacin y Funciones y en su defecto, a las necesidades de la organizacin para el perodo en evaluacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene los currculum vitae actualizados del personal contratado a travs de un proveedor. A veces ni siquiera tiene actualizados los currculum vitae del personal recientemente contratado. B. El personal no cubra o no cubre los requerimientos para el puesto al momento de ingresar a la organizacin, y tampoco los cubre a la fecha.

142

P021: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE HARDWARE DE TECNOLOGA DE INFORMACIN


OBJETIVO Analizar y evaluar el Inventario de Hardware de Tecnologa de la Informacin13 de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del IHTI. B. Revisin de procedimientos relativos a altas, bajas y mejoras en el hardware de Tecnologa de la Informacin. C. Verificacin fsica de los documentos relativos a altas, bajas, cambios y transferencias en el hardware de Tecnologa de la Informacin. D. Verificacin fsica de una muestra del IHTI. E. Revisin y Evaluacin de la correcta contabilizacin del IHTI. F. Evaluacin de la probable prdida de valor por errores u omisiones. El alcance del procedimiento no incluye: A. Evaluacin del inventario de software.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. IHTI en unidades de todas las oficinas a nivel nacional. B. IHTI en valores de todas las oficinas a nivel nacional.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento del IHTI. Verificar que se encuentren los siguientes tipos de hardware:
13

En adelante se le llamar IHTI al Inventario de Hardware de Tecnologa de la Informacin

143

Equipos que forman parte de la computadora o estn directamente conectados a ella: monitores, cases, teclados, mouses, impresoras, scanners, cmaras de computadora, computadoras porttiles, etc. Considerar adems las partes internas: mainboard, tarjeta de red, tarjeta de sonido, tarjeta fax-modem, tarjeta de video, discos duros, unidades de diskette, lectoras de CD, grabadoras de CD, grabadoras de DVD. Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Equipos relacionados a la energa elctrica: estabilizadores de voltaje, supresor de picos, UPS, etc. C. Revisar los procedimientos relativos a altas, bajas, transferencias y cambios en el hardware de Tecnologa de Informacin. Considerar que estos procedimientos deben conducir a que se identifique nicamente a cada movimiento14 que implique una operacin contable, realizado sobre el hardware. D. Verificar fsicamente los documentos relativos a altas, bajas, cambios y transferencias en el hardware de Tecnologa de la Informacin. Revisar que los documentos tengan las respectivas autorizaciones y que se detalle los activos fijos sobre los cuales se est tratando. E. Verificar fsicamente una muestra del IHTI. Tomar una muestra aleatoria estratificada por tipo de equipo y valor y revisar que fsicamente se encuentren en las instalaciones de la organizacin o en aquellas a las cuales la organizacin haya dispuesto que estn, para beneficio directo o indirecto de esta. F. Revisar y evaluar la correcta contabilizacin del IHTI. Verificar que se haya realizado una correcta contabilizacin en los siguientes casos: Compras. Altas. Bajas. Transferencias. Depreciaciones. Revaluaciones. Ventas. Provisin para desvalorizacin. Registro en libro auxiliar de activos fijos. G. Evaluar la probable prdida de valor por errores u omisiones. Calcular el monto en los equipos que no aparecen, el monto en los equipos que no han sido contabilizados correctamente, etc.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un IHTI detallado ni en unidades ni en valores. B. La organizacin tiene un IHTI incompleto.

14

El trmino movimiento se refiere a: altas, bajas y cambios.

144

C. No se contabiliza adecuadamente el inventario. Comnmente se enva al gasto aquello que debe considerarse como activo fijo. D. No se conserva adecuadamente los equipos fuera de uso, provocando que se deterioren y ya no sirvan.

P022: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE SOFTWARE DE BASE


OBJETIVO Analizar y evaluar el Inventario de Software de Base15 de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del ISB. B. Revisin de procedimientos relativos a altas, bajas y mejoras en el software de base. C. Verificacin fsica de los documentos relativos a altas, bajas, cambios y transferencias en el software de base. D. Verificacin fsica de una muestra del ISB. E. Revisin y Evaluacin de la correcta contabilizacin del ISB. F. Evaluacin de la probable prdida de valor por errores u omisiones. El alcance del procedimiento no incluye: A. Evaluacin del Inventario de Sistemas de Informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. ISB en unidades, de todas las oficinas a nivel nacional. B. ISB en valores, de todas las oficinas a nivel nacional.

En adelante al Inventario de Software de Base se le llamar ISB. Considrese como software de base a todo software que no sea sistema de informacin.

15

145

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento del ISB. Verificar lo siguiente: a) Existencia de los siguientes tipos de software: Sistemas operativos. Administradores de bases de datos. Software de proteccin contra intrusos. Software de proteccin ante correos no deseados. Servidores web. Servidores para realizar copias de respaldo. Software de oficina. Servidores de correo. Clientes de correo. Software de Administracin de centrales telefnicas. Software de Diseo Grfico. Lenguajes de Programacin. Herramientas de Anlisis de Sistemas. Herramientas de Diseo de Sistemas, etc. b) El listado debe indicar claramente el nmero de licencias que se ha comprado, junto al nmero de usuarios que realmente las usa, y el nmero de usuarios que realmente las necesita. Si el software es shareware, freeware o libre, tambin debe estar indicado en el listado. C. Revisar los procedimientos relativos a altas, bajas, transferencias y cambios en el software de base. Considerar que estos procedimientos deben conducir a que se identifique nicamente a cada movimiento que implique una operacin contable, realizado sobre el software de base. D. Verificar fsicamente los documentos relativos a altas, bajas, cambios y transferencias en el software de base. Revisar que los documentos tengan las respectivas autorizaciones y que se detalle los activos intangibles sobre los cuales se est tratando. E. Verificar fsicamente una muestra del ISB. Tomar una muestra aleatoria estratificada por tipo de software y valor y revisar que fsicamente se encuentren en las instalaciones de la organizacin o en aquellas instalaciones en las cuales la organizacin haya dispuesto que estn, para beneficio directo o indirecto de esta. F. Revisar y evaluar la correcta contabilizacin del ISB. Verificar que se haya realizado una correcta contabilizacin en los siguientes casos: Compras. Altas. Bajas. Transferencias. Amortizaciones. Revaluaciones. Ventas. 146

Provisin para desvalorizacin. Registro en libro auxiliar de activos intangibles. G. Evaluar la probable prdida de valor por errores u omisiones. Calcular el monto en el software de base que no aparece, el monto en el software de base que no ha sido contabilizado correctamente, el monto en multas y dao a la imagen de la organizacin que se producira de ser intervenidos por tener software pirata, etc.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un ISB detallado ni en unidades ni en valores. B. La organizacin tiene un ISB incompleto. C. No se contabiliza adecuadamente el inventario. Comnmente se enva al gasto aquello que debe considerarse como activo intangible. Dado que no se activa el software, tampoco se amortiza adecuadamente. D. No se da de baja al software que ya no se usa. E. Se tiene software pirata en la organizacin. Adems no se tiene identificado cunto realmente costara licenciar todo, ni se ha visto cmo evitar su compra a travs del uso de software libre o freeware.

P023: PROCEDIMIENTO PARA LA AUDITORA DEL INVENTARIO DE SISTEMAS DE INFORMACIN


OBJETIVO Analizar y evaluar el Inventario de Sistemas de Informacin16 de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del ISI. B. Revisin de procedimientos relativos a altas, bajas y mejoras en los sistemas de informacin. C. Verificacin fsica de los documentos relativos a altas, bajas, cambios y transferencias en los sistemas de informacin.

16

En adelante al Inventario de Sistemas de Informacin se le llamar ISI.

147

D. Verificacin fsica de una muestra del ISI. E. Revisin y Evaluacin de la correcta contabilizacin del ISI. F. Evaluacin de la probable prdida de valor por errores u omisiones.

El alcance del procedimiento no incluye: A. Evaluacin del Inventario de Software de Base.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. ISI en unidades, de todas las oficinas a nivel nacional. B. ISI en valores, de todas las oficinas a nivel nacional.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento del ISI. Verificar lo siguiente: a) Existencia de los siguientes tipos de sistemas de informacin: Sistemas de Procesamiento de Transacciones. Sistemas Integrados al Cliente. Sistemas de Informacin Gerencial. Sistemas de Soporte a Grupos de Trabajo. Sistemas de Soporte a Toma de Decisiones e Inteligencia Artificial. Sistemas de Informacin Ejecutivos. Sistemas de Informacin Interorganizacionales. Sistemas de Planificacin. b) El listado debe indicar claramente el nmero de licencias que se ha comprado, junto al nmero de usuarios que realmente las usa, y el nmero de usuarios que realmente las necesita. Si el software es shareware, freeware o libre, tambin debe estar indicado en el listado. Deber diferenciar adems, los sistemas de informacin desarrollados de manera interna como aquellos sistemas de informacin comprados o desarrollados por proveedores. C. Revisar los procedimientos relativos a altas, bajas, transferencias y cambios en los sistemas de informacin. Considerar que estos procedimientos deben conducir a que se identifique nicamente a cada movimiento que implique una operacin contable, realizado sobre los sistemas de informacin.

148

D. Verificar fsicamente los documentos relativos a altas, bajas, cambios y transferencias de los sistemas de informacin. Revisar que los documentos tengan las respectivas autorizaciones y que se detalle los activos intangibles sobre los cuales se est tratando. E. Verificar fsicamente una muestra del ISI. Tomar una muestra aleatoria estratificada por tipo de sistemas de informacin y valor, y revisar que fsicamente se encuentren instalados en los locales de la organizacin o en aquellos locales en los cuales la organizacin haya dispuesto que estn, para beneficio directo o indirecto de esta. F. Revisar y evaluar la correcta contabilizacin del ISI. Verificar que se haya realizado una correcta contabilizacin en los siguientes casos: Compras. Altas. Bajas. Transferencias. Amortizaciones. Revaluaciones. Ventas. Provisin para desvalorizacin. Registro en libro auxiliar de activos intangibles. H. Evaluar la probable prdida de valor por errores u omisiones. Calcular el monto en los sistemas de informacin que no estn instalados, el monto en los sistemas de informacin que no ha sido contabilizado correctamente, el monto en multas y dao a la imagen de la organizacin que se producira de ser intervenidos por tener sistemas de informacin piratas, etc.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un ISI detallado ni en unidades ni en valores. B. La organizacin tiene un ISI incompleto. unidades y no en valores. En muchos casos se tiene en

C. No se contabiliza adecuadamente el inventario. Comnmente se enva al gasto aquello que debe considerarse como activo intangible. D. No se da de baja a los sistemas de informacin que ya no se usan. E. Se tiene sistemas de informacin piratas en la organizacin. Adems no se tiene identificado cunto realmente costara licenciar todo, ni se ha visto cmo evitar su compra a travs del uso de sistemas de informacin basados en software libre o sistemas de informacin freeware.

149

P024: PROCEDIMIENTO PARA LA AUDITORA DE LA SOLICITUDES Y EVALUACIONES DE LAS COTIZACIONES PARA LAS COMPRAS DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS
OBJETIVO Analizar y evaluar las cotizaciones para las compras de Hardware de Computadoras, Redes y Equipos Relacionados17 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la solicitud de cotizaciones para las compras de HCRER. B. Revisin de procedimientos relativos a la evaluacin de las cotizaciones para las compras de HCRER. C. Revisin fsica de las cotizaciones para las compras de HCRER. D. Revisin fsica de las evaluaciones de las cotizaciones para las compras de HCRER. El alcance del procedimiento no incluye: A. Revisin de contratos celebrados a partir de las cotizaciones.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. Procedimientos para la solicitud de cotizaciones para la compra de HCRER. Procedimientos para la evaluacin de cotizaciones para la compra de HCRER. Cotizaciones finales para la compra de HCRER. Evaluaciones de las cotizaciones finales para la compra de HCRER.

PROCESO Las actividades a realizar para esta auditora son las siguientes:

En adelante se llamar HCRER al Hardware de Computadoras, Redes y Equipos relacionados.

17

150

A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la solicitud de cotizaciones para la compra de HCRER. Verificar que se solicite como mnimo lo siguiente: a) b) c) d) e) Especificaciones tcnicas de lo solicitado. Niveles de servicio. Entregables y fechas de entrega. Costo total y forma de pago. Garantas.

C. Revisar los procedimientos relativos a la evaluacin de las cotizaciones para la compra de HCRER. Verificar que se incluya como mnimo lo siguiente: a) Evaluacin de Propuesta Tcnica. Debe considerar ponderaciones para los principales aspectos de la propuesta tcnica: especificaciones tnicas, niveles de servicio, entregables y fechas de entrega. b) Evaluacin de Propuesta Econmica. Debe considerar ponderaciones para los principales aspectos de la propuesta econmica: costo total (inversiones y gastos) y forma de pago. D. Revisar fsicamente las cotizaciones para la compra de HCRER. Las cotizaciones deben contener por lo menos lo indicado en el punto B. E. Revisar fsicamente las evaluaciones de las cotizaciones para la compra de HCRER. Las evaluaciones de las cotizaciones deben contener lo indicado en el punto C. Adems, debe someterse cada alternativa a un anlisis de generacin de valor.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no evala varios proveedores al momento de realizar una compra. B. En las cotizaciones no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, niveles de servicio, garantas, etc.

P025: PROCEDIMIENTO PARA LA AUDITORA DE LAS SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LAS COMPRAS DE SOFTWARE DE BASE
OBJETIVO Analizar y evaluar las cotizaciones para las compras de Software de Base18 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
En adelante se llamar SB al Software de Base. SB es todo aquel software diferente a un sistema de informacin.
18

151

ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la solicitud de cotizaciones para las compras de SB. B. Revisin de procedimientos relativos a la evaluacin de las cotizaciones para las compras de SB. C. Revisin fsica de las cotizaciones para las compras de SB. D. Revisin fsica de las evaluaciones de las cotizaciones para las compras de SB. El alcance del procedimiento no incluye: A. Revisin de contratos celebrados a partir de las cotizaciones.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. Procedimientos para la solicitud de cotizaciones para la compra de SB. Procedimientos para la evaluacin de cotizaciones para la compra de SB. Cotizaciones finales para la compra de SB. Evaluaciones de las cotizaciones finales para la compra de SB.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la solicitud de cotizaciones para la compra de SB. Verificar que se solicite como mnimo lo siguiente: a) b) c) d) e) Especificaciones tcnicas de lo solicitado. Niveles de servicio. Entregables y fechas de entrega Costo total y forma de pago. Garantas.

C. Revisar los procedimientos relativos a la evaluacin de las cotizaciones para la compra de SB. Verificar que se incluya como mnimo lo siguiente: a) Evaluacin de Propuesta Tcnica. Debe considerar ponderaciones para los principales aspectos de la propuesta tcnica: especificaciones tnicas, niveles de servicio, entregables y fechas de entrega.

152

b)

Evaluacin de Propuesta Econmica. Debe considerar ponderaciones para los principales aspectos de la propuesta econmica: costo total (inversiones y gastos) y forma de pago.

D. Revisar fsicamente las cotizaciones para la compra de SB. Las cotizaciones deben contener lo indicado en el punto B. E. Revisar fsicamente las evaluaciones de las cotizaciones para la compra de SB. Las evaluaciones de las cotizaciones deben contener lo indicado en el punto C. Adems, debe someterse cada alternativa a un anlisis de generacin de valor.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no evala varios proveedores al momento de realizar una compra. B. En las cotizaciones no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, niveles de servicio, garantas, etc.

P026: PROCEDIMIENTO PARA LA AUDITORA DE LAS SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LAS COMPRAS DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar las cotizaciones para las compras de Sistemas de Informacin19 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE

El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la solicitud de cotizaciones para las compras de SI. B. Revisin de procedimientos relativos a la evaluacin de las cotizaciones para las compras de SI. C. Revisin fsica de las cotizaciones para las compras de SI. D. Revisin fsica de las evaluaciones de las cotizaciones para las compras de SI.

19

En adelante se llamar SI a los sistemas de informacin.

153

El alcance del procedimiento no incluye: A. Revisin de contratos celebrados a partir de las cotizaciones.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. Procedimientos para la solicitud de cotizaciones para la compra de SI. Procedimientos para la evaluacin de cotizaciones para la compra de SI. Cotizaciones finales para la compra de SI. Evaluaciones de las cotizaciones finales para la compra de SI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la solicitud de cotizaciones para la compra de SI. Verificar que se solicite como mnimo lo siguiente: a) b) c) d) Objetivo y alcance del SI. Especificaciones tcnicas de lo solicitado. Estas especificaciones deberan detalladarse por mdulo, sub-mdulo y opcin del SI. Metodologa de Trabajo. Niveles de servicio. Debera estar detallada la velocidad del servicio que se tendr, as como el perfil de personas que colocarn en el proyecto. Es necesario que se solicite tambin el currculum vitae de las personas que trabajarn en el proyecto. Entregables y fechas de entrega. Debera entregarse un cronograma detallado de la ejecucin del proyecto, por lo menos a nivel de semanas. Costo total y forma de pago. La cotizacin debera indicar claramente los pagos a realizar al momento de la entrega de cada etapa. Garantas.

e) f) g)

C. Revisar los procedimientos relativos a la evaluacin de las cotizaciones para la compra de SI. Verificar que se incluya como mnimo lo siguiente: a) Evaluacin de Propuesta Tcnica. Debe considerar ponderaciones para los principales aspectos de la propuesta tcnica: especificaciones tnicas, metodologa de trabajo, niveles de servicio, entregables y fechas de entrega. b) Evaluacin de Propuesta Econmica. Debe considerar ponderaciones para los principales aspectos de la propuesta econmica: costo total (inversiones y gastos) y forma de pago. D. Revisar fsicamente las cotizaciones para la compra de SI. Las cotizaciones deben contener lo indicado en el punto B.

154

E. Revisar fsicamente las evaluaciones de las cotizaciones para la compra de SI. Las evaluaciones de las cotizaciones deben contener lo indicado en el punto C. Adems, debe someterse cada alternativa a un anlisis de generacin de valor.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no evala varios proveedores al momento de realizar una compra de sistemas de informacin. B. En las cotizaciones no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, niveles de servicio, garantas, etc. C. Los proveedores no presentan ni plantean el uso de una metodologa de trabajo en sus propuestas tcnicas.

P027: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS DE COMPRA DE BIENES Y SERVICIOS, DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS
OBJETIVO Analizar y evaluar los contratos para las compras de bienes o servicios de Hardware de Computadoras, Redes y Equipos Relacionados20 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la generacin de contratos para las compras de bienes o servicios de HCRER. B. Revisin fsica de las cotizaciones y evaluaciones previas a los contratos para las compras de bienes o servicios de HCRER. C. Revisin fsica de los contratos para las compras de bienes o servicios de HCRER. D. Anlisis de la generacin de valor de los contratos.

En adelante se llamar HCRER al Hardware de Computadoras, Redes y Equipos relacionados.

20

155

El alcance del procedimiento no incluye: A. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. Procedimientos para la generacin de contratos para la compra de HCRER. Cotizaciones finales para la compra de HCRER. Evaluaciones de las cotizaciones finales para la compra de HCRER. Contratos y adendas de contratos para las compras de HCRER.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la generacin de contratos para la compra de HCRER. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de HCRER. C. Revisar las cotizaciones y evaluaciones para la compra de HCRER. Ver procedimiento P024. D. Revisar los contratos para la compra de HCRER. Verificar que se solicite como mnimo lo siguiente: a) Datos bsicos iniciales del contrato: Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. b) Generalidades. c) Objeto del Contrato. d) Especificaciones tcnicas de lo solicitado. e) Metodologa. f) Plan de Trabajo. g) Entregables y fechas de entrega. 156

h) Niveles de servicio. i) Condiciones para el adecuado funcionamiento de los equipos. j) Vigencia del contrato. k) Costo total y forma de pago. l) Confidencialidad. m) Garantas. n) Limitaciones. o) Penalidades. p) Jurisdiccin en caso de desacuerdos. q) Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). r) Firmas y sellos de los representantes legales en todas las hojas. E. Analizar la generacin de valor del contrato. Ver procedimiento P059.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no evala varios proveedores al momento de realizar una compra. B. En los contratos no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, ni se hace referencia a propuestas tcnicas donde se encuentre ese detalle. C. No se hace contratos para la compra de hardware. D. Se determina que gana el contrato, una propuesta para la compra de hardware que no fue ponderada como ganadora.

P028: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS PARA LAS COMPRAS DE SOFTWARE DE BASE
OBJETIVO Analizar y evaluar los contratos para las compras de bienes o servicios de software de base en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la generacin de contratos para las compras de bienes o servicios de SB. B. Revisin fsica de las cotizaciones y evaluaciones previas a los contratos para las compras de bienes o servicios de SB.

157

C. Revisin fsica de los contratos para las compras de bienes o servicios de SB. D. Anlisis de la generacin de valor de los contratos. El alcance del procedimiento no incluye: A. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. B. C. D. Procedimientos para la generacin de contratos para la compra de SB. Cotizaciones finales para la compra de SB. Evaluaciones de las cotizaciones finales para la compra de SB. Contratos y adendas de contratos para las compras de SB.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la generacin de contratos para la compra de SB. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de SB. C. Revisar las cotizaciones y evaluaciones para la compra de SB. Ver procedimiento P025. D. Revisar los contratos para la compra de SB. Verificar que se solicite como mnimo lo siguiente: a) Datos bsicos iniciales del contrato: Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. b) Generalidades. c) Objeto del Contrato. d) Especificaciones tcnicas de lo solicitado. 158

e) f) g) h) f) g) h) i) j) k) l) m) n)

Metodologa. Plan de Trabajo. Entregables y fechas de entrega. Niveles de servicio. Condiciones de hardware mnimas para el funcionamiento del SB. Vigencia del contrato. Costo total y forma de pago. Confidencialidad. Garantas. Limitaciones. Penalidades. Jurisdiccin en caso de desacuerdos. Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). o) Firmas y sellos de los representantes legales en todas las hojas. E. Analizar la generacin de valor del contrato. Ver procedimiento P059.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no evala varios proveedores al momento de realizar una compra. B. En los contratos no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, ni se hace referencia a propuestas tcnicas donde se encuentre ese detalle. C. No se hace contratos para la compra de SB, aunque los montos sean elevados. D. Se determina que gana el contrato, una propuesta para la compra SB que no fue ponderada como ganadora.

P029: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS PARA LAS COMPRAS DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los contratos para las compras de bienes o servicios de sistemas de informacin en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: E. Revisin de procedimientos relativos a la generacin de contratos para las compras de SI.

159

F. Revisin fsica de las cotizaciones y evaluaciones previas a los contratos para las compras de SI. G. Revisin fsica de los contratos para las compras de SI. H. Anlisis de la generacin de valor de los contratos. El alcance del procedimiento no incluye: B. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: E. F. G. H. Procedimientos para la generacin de contratos para la compra de SI. Cotizaciones finales para la compra de SI. Evaluaciones de las cotizaciones finales para la compra de SI. Contratos y adendas de contratos para las compras de SI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: F. Revisar la informacin indicada en la seccin anterior. G. Revisar los procedimientos relativos a la generacin de contratos para la compra de SI. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de SI. H. Revisar las cotizaciones y evaluaciones para la compra de SI. Ver procedimiento P026. I. Revisar los contratos para la compra de SI. Verificar que se solicite como mnimo lo siguiente: a) Datos bsicos iniciales del contrato: Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. 160

b) Generalidades. c) Objeto del Contrato. d) Especificaciones tcnicas de lo solicitado. e) Metodologa. f) Plan de Trabajo. g) Entregables y fechas de entrega. h) Niveles de servicio. i) Condiciones de hardware mnimas para el funcionamiento del SI. j) Vigencia del contrato. k) Costo total y forma de pago. l) Confidencialidad. m) Garantas. n) Limitaciones. o) Penalidades. p) Jurisdiccin en caso de desacuerdos. q) Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). r) Firmas y sellos de los representantes legales en todas las hojas. J. Analizar la generacin de valor del contrato. Ver procedimiento P059.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: F. La organizacin no evala varios proveedores al momento de realizar una compra. G. En los contratos no se indica detalladamente las especificaciones tcnicas de lo que se va a entregar, ni se hace referencia a propuestas tcnicas donde se encuentre ese detalle. H. No se hace contratos para la compra de SI. I. Se determina que gana el contrato, una propuesta para la compra de SI que no fue ponderada como ganadora.

J. No se incluye clusulas que permitan a la organizacin, tener una proteccin ante la quiebra o retiro del mercado del proveedor; por ejemplo, pudiendo acceder al cdigo fuente de su aplicacin y a toda la documentacin tcnica en caso suceda la quiebra o retiro del mercado del proveedor.

161

P030: PROCEDIMIENTO PARA LA AUDITORA DE LOS CONTRATOS DE SEGUROS PARA LAS TECNOLOGAS DE INFORMACIN
OBJETIVO Analizar y evaluar los contratos de seguros para las Tecnologas de Informacin21 en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la generacin de contratos de seguros relativos a las TI. B. Revisar cotizaciones y evaluaciones para la compra de seguros relativos a las TI. C. Revisin de los contratos de seguros relativos a las TI. D. Verificacin del cumplimiento de las clusulas de los contratos de seguros relativos a las TI. E. Anlisis de la generacin de valor de los contratos de seguros relativos a las TI. El alcance del procedimiento no incluye: A. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Procedimientos para la generacin de contratos de seguros relativos a las TI. B. Contratos y adendas de contratos de seguros relativos a las TI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior.

21

En adelante se le llamar TI a las Tecnologas de Informacin.

162

B. Revisar los procedimientos relativos a la generacin de contratos de seguros de TI. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de seguros relativos a las TI. C. Revisar las cotizaciones y evaluaciones para la compra de seguros relativos a las TI. D. Revisar los contratos de seguros relativos a las TI. Verificar que se solicite por lo menos los siguientes tipos de coberturas de riesgos: a) Incendio. b) Rotura de Maquinaria. c) Equipos Electrnicos. La pliza de seguro de equipo electrnico debe contener secciones y clusulas que contengan la siguiente informacin: a) Datos bsicos iniciales del contrato: Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del Contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Beneficiario del Seguro (entidad a la cual se le endosa la pliza): nombre completo o razn social, RUC, direccin y alias. b) Coberturas bsicas. Ej: lmites de cobertura segn lo declarado. c) Exclusiones Generales. Ej: guerra, invasin, reaccin nuclear, acto intencional o negligencia del asegurado, etc. d) Normas Generales. Bases del Contrato. Ej: sometimiento a las condiciones impresas o mecanografiadas de la pliza, validez de la pliza slo con la firma de funcionarios autorizados de la empresa de seguros, etc. Plazo para rectificaciones convenidas. Avisos y Comunicaciones. Ej: deben hacerse por escrito, toda comunicacin con el corredor de seguros surte efecto en relacin al asegurado, etc. Pago de primas y resolucin automtica por falta de pago. Resolucin del Contrato. Gastos que debe asumir el asegurado. Ej: gastos de emisin de la pliza, gastos adicionales para el pago de un siniestro, etc. Predominio de Condiciones y/o Clusulas. Ej: en caso de dudas prevalecen las condiciones mecanografiadas sobre las condiciones impresas.

163

Declaracin falsa y/o reticente. Ej: que el asegurado tenga ms de un seguro de lo mismo, declaraciones inexactas, mala fe del asegurado al celebrarse el contrato o durante su vigencia, etc. Otros seguros. Ej: obligacin del asegurado de declarar a la empresa aseguradora los seguros vigente o futuros que contrate referidos al riesgo cubierto. Adaptacin Automtica. Ej: cualquier modificacin de las condiciones generales de la pliza que fuera aprobada legalmente y que represente un beneficio para el asegurado, se considerar automticamente introducida dentro de la pliza, siempre que se produzca dentro del plazo de vigencia de la misma. Clusula de Reclamacin Fraudulenta. Arbitraje. Fuero o Jurisdiccin a la que se someten la empresa aseguradora y el asegurado. Domicilio. e) Objeto del Seguro. Ej: el asegurado deber tomar las precauciones razonables y cumplir con las recomendaciones de la empresa aseguradora para prevenir dao y cumplir con las recomendaciones del fabricante, la empresa aseguradora podr inspeccionar en cualquier momento el riesgo, el asegurado deber notificar cualquier cambio material en el riesgo, etc. f) Procedimiento para el reclamo del siniestro.

g) Indemnizacin de los siniestros. Daos Materiales. Portadores de Datos Externos. Incremento en el Costo de Operacin. Para cada uno de los puntos referidos, se debe incluir: Alcance de la cobertura. Exclusiones Especiales. Disposiciones Aplicables. indemnizacin.

Ej:

suma

asegurada

base

de

la

h) Cobertura para gastos extraordinarios por tiempo extra, trabajo nocturno, trabajo en das festivos y flete expreso. i) j) Celebracin de un contrato de mantenimiento. Cobertura de Flete Areo.

k) Obligaciones relativas a equipos de climatizacin. E. Verificar el cumplimiento de las clusulas de los contratos de seguros relativos a las TI. Hacer una inspeccin a las instalaciones elctricas y electrnicas que se encuentran en la empresa, principalmente a las ubicadas en los centros de cmputo principal y alterno. Ver procedimientos P055 y P057. F. Analizar la generacin de valor del contrato. Ver procedimiento P059.

164

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no contrata seguros referidos a los equipos electrnicos. B. La organizacin no cumple con las clusulas de las plizas de seguros referidas a los equipos electrnicos, ponindose en riesgo el cobro del beneficio del seguro si se presentara una contingencia que los dae.

P031: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE DESARROLLO DE SISTEMAS DE INFORMACIN


OBJETIVO Analizar y evaluar la metodologa de desarrollo de sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de desarrollo de sistemas de informacin. B. Revisin de la ejecucin de la metodologa de desarrollo de sistemas de informacin. C. Anlisis de la prdida de valor debido a fallas en la metodologa, en su ausencia o en su uso. El alcance del procedimiento no incluye: A. Revisin del proceso de seleccin de la metodologa de desarrollo.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de todos los manuales tcnicos y manuales de usuario de los sistemas de informacin de la organizacin con sus respectivos accesos por rea y usuario. B. Acceso a todos los manuales tcnicos y manuales de usuario de los sistemas de informacin de la organizacin. C. Documentos sustentatorios del cumplimiento de la metodologa.

165

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la metodologa de desarrollo. La organizacin debe tener definida una metodologa de desarrollo de sistemas de informacin basada en el ciclo de vida de desarrollo de sistemas de informacin: definicin de requerimientos, planificacin, anlisis, diseo, implementacin (codificacin y pruebas), integracin y pruebas, implantacin, operacin y mantenimiento. De manera ideal, la metodologa debera contener los procesos indicados en la ISO/IEC 12207: procesos organizativos, procesos de apoyo y procesos principales. C. Revisar la ejecucin de la metodologa de desarrollo. Si se ha usado metodologa estructurada (Yourdon): Especificaciones Funcionales y Tcnicas. Detalle de la funcionalidad que tendr el sistema mdulo por mdulo. Incluir hojas de anlisis diferencial. Anlisis. Detalle de la definicin de estndares para el anlisis, los diagramas de contexto, diagrama cero y diagramas de flujos de datos y especificaciones funcionales con su respectivo diccionario de datos. Diseo. Debe incluirse: Definicin de estndares para el diseo. Detalle de las cartas estructuradas desde el mdulo principal hasta los ltimos mdulos. Debe incluirse las cartas estructuradas con sus respectivos datos, controles y diccionario de datos. Diseo de la base de datos. Prototipo del Sistema. Elaboracin de los diversos planes sugeridos por la ISO/IEC 12207: Plan de Pruebas. Plan de Gestin de la Configuracin. Plan de Configuracin de la Infraestructura. Plan de Aseguramiento de la Calidad. Plan de Control de Calidad. Plan de Revisin Conjunta. Plan de Validacin. Plan de Integracin del Software. Plan de Instalacin del Software. Plan de Migracin de Datos. Plan de Retirada del Software. Plan de Formacin. Elaboracin de Manuales Tcnicos. Implementacin. Debe incluirse: Definicin de estndares para la implementacin. Detalle de los seudocdigos de los mdulos (por lo menos los ms complejos). Documentacin del cdigo fuente. Integracin y Pruebas. Debe incluirse: ejecucin del plan de pruebas, as como la ejecucin en la cual se demuestra que todo funciona correctamente. Implantacin. Debe incluirse: 166

Configuracin del software de base. Ejecucin del Plan de Migracin de Datos. Ejecucin del Plan de Integracin. Instalacin del Sistema. Configuracin de Parmetros Generales del sistema. Capacitacin al Usuario. Operacin. Incluir actividades de soporte al usuario cuando el sistema ya ha sido implantado. Mantenimiento. Debe incluirse condiciones y nivel de servicio. Verificar adems el retorno de la inversin. El mantenimiento debe incluir todos los procesos descritos en esta seccin. Si se ha usado metodologa orientada a objetos (UML): Especificaciones Funcionales y Tcnicas. Debe incluirse: Detalle de la funcionalidad que tendr el sistema mdulo por mdulo. Diagrama de casos de uso del sistema general. Incluye: casos de uso, secuencia, precondiciones y postcondiciones. Anlisis y Diseo. Debe incluise: Prototipo del Sistema. Diagrama de casos de uso detallados. Diagrama de actividades. Diagrama de clases. Diagrama de estados. Diagrama de secuencias. Diagrama de componentes. Elaboracin de los diversos planes sugeridos por la ISO/IEC 12207: Plan de Pruebas. Plan de Gestin de la Configuracin. Plan de Configuracin de la Infraestructura. Plan de Aseguramiento de la Calidad. Plan de Control de Calidad. Plan de Revisin Conjunta. Plan de Validacin. Plan de Integracin del Software. Plan de Instalacin del Software. Plan de Migracin de Datos. Plan de Retirada del Software. Plan de Formacin. Elaboracin de Manuales Tcnicos. Implementacin. Debe incluirse: Definicin de estndares para la implementacin. Elaboracin de seudocdigos. Documentacin del cdigo fuente. Integracin y Pruebas. Debe incluise: Configuracin del software de base. Ejecucin del Plan de Migracin de Datos. Instalacin del Sistema. Configuracin de Parmetros Generales del sistema. Capacitacin al Usuario. Implantacin. Configuracin del software de base. Ejecucin del Plan de Migracin de Datos. Instalacin del Sistema. Configuracin de Parmetros Generales del sistema. 167

Capacitacin al Usuario. Operacin. Incluir actividades de soporte al usuario cuando el sistema ya ha sido implantado. Mantenimiento. Debe incluirse condiciones y niveles de servicio. Verificar adems el retorno de la inversin. D. Revisar que se haya realizado los registros correspondientes a la gestin cambios, gestin de versiones y gestin de configuraciones. E. Analizar la prdida de valor que se podra originar en caso no se tuviera una metodologa o no se cumpliera con esta.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no ha definido una metodologa formal de desarrollo de sistemas de informacin. B. La organizacin no sigue una metodologa formal de desarrollo de sistemas de informacin en personal contratado directamente, aunque la haya definido. C. La organizacin no exige a los proveedores el seguimiento de una metodologa formal de acuerdo al ciclo de vida de desarrollo de sistemas de informacin, aunque la haya definido. D. Ausencia de tres planes crticos para minimizar las fallas del sistema de informacin: Plan de Pruebas, Plan de Migracin de Datos y Plan de Integracin.

P032: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO


OBJETIVO Analizar y evaluar la metodologa para la atencin de requerimientos de soporte tcnico de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de soporte tcnico de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. El alcance del procedimiento no incluye:

168

A. Evaluacin de la metodologa de atencin de requerimientos de desarrollo de sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza un proveedor.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente la metodologa de atencin de requerimientos de soporte tcnico, con personal interno o asignado de manera permanente por un proveedor. Debe incluirse los siguientes procesos: a) b) c) d) e) f) g) h) i) j) k) Recibir del requerimiento. Clasificar el requerimiento. Definicin de criterios para priorizar la atencin de requerimientos. En caso que el requerimiento no lo pueda atender el personal interno, ir al punto C. Definir procesos para la atencin de requerimientos de cada tipo. Verificar la correcta ejecucin de los procesos para la atencin de requerimientos de cada tipo. Si el usuario no da su conformidad, regresar al punto a. Registrar los procesos en la atencin de requerimientos de cada tipo. Consultar al usuario acerca de la calidad de la atencin recibida. Realizar los registros correspondientes a la gestin cambios, gestin de versiones y gestin de configuraciones. Publicar sus niveles de servicio, as como la satisfaccin de los usuarios, peridicamente.

C. Revisar detalladamente la metodologa de atencin de requerimientos de soporte tcnico, con proveedores eventuales. Verificar: a) b) c) d) e) Contactar con proveedores alternativos. Recibir cotizaciones de varios proveedores. Evaluar cotizaciones de varios proveedores22. Determinar la propuesta ganadora. Escoltar al personal de proveedor que realizar la atencin del requerimiento. Esto se desarrollar en caso que el requerimiento se atienda

22

Para la auditora de los puntos a, b y c, ejecutar el procedimiento P024 el procedimiento P025.

169

f) g) h) i) j)

k)

dentro del local de la organizacin. De ser un servicio de larga duracin, coordinar los pases y restricciones de acceso fsico a las instalaciones, del personal del proveedor. Solicitar informe (diagnstico) antes de la ejecucin de la solucin. Ejecutar el servicio. Solicitar el informe final, luego de la ejecucin de la solucin. Verificar la calidad del servicio recibido. Si la calidad del servicio no satisface Si lo que falta es leve entonces Indicar que se regrese al punto g Caso contrario Si lo que falta es grave entonces Regresar al punto a Evaluar daos y acciones administrativas y/o legales Caso Contrario Solicitar la aprobacin del requerimiento por parte del usuario Si el usuario indica su aprobacin entonces Solicitar el registro de la aprobacin del requerimiento Caso Contrario Regresar al punto g. Realizar los registros correspondientes a la gestin cambios, gestin de versiones y gestin de configuraciones.

D. Analizar la prdida de valor que se podra originar por una inadecuada metodologa de atencin de requerimientos de soporte tcnico. Calcular cunto dinero podra perder la organizacin si la metodologa es inadecuada o no se cumple, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Se tiene requerimientos reconocidos como adecuados; pero, nunca son atendidos. B. No existen criterios claramente definidos para priorizar la atencin de los requerimientos de soporte tcnico.

P033: PROCEDIMIENTO PARA LA AUDITORA DE LA METODOLOGA DE ATENCIN DE REQUERIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar la metodologa para la atencin de requerimientos de desarrollo de sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

170

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin que se encuentran en produccin en la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores.

171

El alcance del procedimiento no incluye: A. Evaluacin de la metodologa de atencin de requerimientos de soporte tcnico. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente la metodologa de atencin de requerimientos de desarrollo de sistemas de informacin, con personal interno. Verificar: a) b) c) d) Recepcin del requerimiento. Clasificacin del requerimiento. Ej: correccin, opcin adicional o proyecto. Criterios para priorizar la atencin de requerimientos. En caso que el requerimiento no lo pueda atender el personal interno, ir al punto C. e) Definicin de procesos para la atencin de requerimientos de cada tipo. Debe incluirse los siguientes procesos: Analizar el requerimiento. Elaborar la especificacin funcional y tcnica para atender el requerimiento. En general, seguir todos los pasos de la metodologa de desarrollo de sistemas de informacin, alineada a lo que se exige en la ISO/IEC 12207. Ejecutar P031 aunque se trate slo de un mantenimiento. Realizar los registros correspondientes a la gestin cambios, gestin de versiones y gestin de configuraciones. Solicitar al usuario la verificacin del requerimiento. Si el usuario verifica que el requerimiento ha sido atendido satisfactoriamente, debe aprobar el requerimiento; caso contrario, volver al paso b). f) Registro de los procesos en la atencin de requerimientos de cada tipo. C. Revisar detalladamente la metodologa de atencin de requerimientos de desarrollo de sistemas de informacin, con proveedores. Debe incluirse: a) Contactar con proveedores alternativos. b) Recibir cotizaciones de varios proveedores. c) Evaluar cotizaciones de varios proveedores23.
23

Para la auditora de los puntos a, b y c, ejecutar el procedimiento P026. 172

d) Determinar la propuesta ganadora. e) Escoltar al personal de proveedor que realizar la atencin del requerimiento. Esto en caso el requerimiento se atienda dentro del local de la organizacin. De ser un servicio de larga duracin, coordinar los pases y restricciones de acceso fsico a las instalaciones, del personal del proveedor. f) Solicitar informe previo (diagnstico) a la ejecucin de la solucin. g) Ejecutar el servicio. h) Solicitar el informe final, luego de la ejecucin de la solucin. i) Verificacin de la calidad del servicio recibido. j) Si la calidad del servicio no satisface Si lo que falta es leve entonces Indicar que se regrese al punto g Caso contrario Si lo que falta es grave entonces Regresar al punto a Caso Contrario Solicitar la aprobacin del requerimiento por parte del usuario. Si el usuario indica su aprobacin entonces Solicitar la aprobacin a la atencin del requerimiento Caso Contrario Regresar al punto g. l) Realizar los registros correspondientes a la gestin cambios, gestin de versiones y gestin de configuraciones. D. Analizar la prdida de valor que se podra originar por una inadecuada metodologa de atencin de requerimientos de desarrollo de sistemas de informacin. Calcular cunto dinero podra perder la organizacin si la metodologa es inadecuada o no se cumple, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Se tiene requerimientos reconocidos como adecuados; pero, nunca son atendidos. B. Se tiene requerimientos reconocidos como adecuados; pero, su atencin demora meses o aos, dado que no son atendidos con la prioridad debida. C. No existen criterios claramente definidos para priorizar la atencin de los requerimientos.

173

P034: PROCEDIMIENTO PARA LA AUDITORA DE LA DOCUMENTACIN DE LOS MANUALES TCNICOS DE LOS SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar la documentacin de los manuales tcnicos de los sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los manuales tcnicos de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. B. Verificacin del acceso de los usuarios del rea de Tecnologa de Informacin, a los manuales tcnicos. C. Revisin del procedimiento para otorgar accesos a los manuales tcnicos. D. Anlisis de la prdida de valor que se podra originar en caso no se tuviera los manuales tcnicos. El alcance del procedimiento no incluye: A. Revisin de manuales de usuario de los sistemas de informacin de la organizacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de todos los manuales tcnicos de los sistemas de informacin de la organizacin con sus respectivos accesos por rea y usuario. B. Acceso a todos los manuales tcnicos de los sistemas de informacin de la organizacin. C. Procedimiento para otorgar accesos a los manuales tcnicos.

PROCESO Las actividades a realizar para esta auditora son las siguientes:

174

A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente los manuales tcnicos de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. Verificar lo siguiente: a) Existencia de los manuales tcnicos. b) Por cada manual tcnico revisar: Debe existir documentacin tcnica sobre cada una de las etapas del ciclo de vida de desarrollo de sistemas de informacin, de acuerdo a la metodologa de desarrollo que use la organizacin o el proveedor (estructurada, orientada a objetos, etc.). Claridad de los textos y herramientas grficas del documento. Verificar que el manual contenga lo que se establece en el procedimiento P031, para la metodologa de desarrollo de sistemas de informacin.

C. Verificar el acceso de los usuarios a los manuales tcnicos. Los usuarios del rea de Tecnologa de Informacin necesitan tener el acceso de lectura sobre los manuales tcnicos, los cuales comnmente se encuentran en un directorio compartido o en la Intranet de la organizacin. De no tener el acceso, por lo menos debe existir una relacin de manuales tcnicos para que cuando se requiera, el personal del rea de Tecnologa de Informacin sepa de su existencia y solicite su acceso. D. Revisar el procedimiento para otorgar accesos a los manuales tcnicos de la organizacin. El procedimiento debe incluir como mnimo la aprobacin del jefe o gerente de rea dentro del rea de Tecnologa de Informacin. E. Analizar la prdida de valor que se podra originar en caso no se tuviera los manuales tcnicos de los sistemas de informacin o se otorgara un acceso indebido. Calcular cunto dinero podra perder la organizacin si alguien tuviera acceso a un manual tcnico (junto al acceso indebido al sistema de informacin correspondiente) e hiciera un dao mnimo o un dao total sobre la base de datos, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene manuales de tcnicos de los sistemas de informacin desarrollados por personal contratado directamente. B. La organizacin no exige a los proveedores de sistemas de informacin, el desarrollo y entrega de manuales tcnicos. C. Los manuales tcnicos son muy simples y no cubren las necesidades de aprendizaje tcnico de los sistemas de informacin.

175

P035: PROCEDIMIENTO PARA LA AUDITORA DE LA DOCUMENTACIN DE MANUALES DE USUARIO DE LOS SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar la documentacin de los manuales de usuario de los sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los manuales de usuario de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. B. Verificacin del acceso de los usuarios a los manuales. C. Revisin del procedimiento para otorgar accesos a los manuales de usuario. D. Anlisis de la prdida de valor que se podra originar en caso no se tuviera los manuales de usuario o su acceso. El alcance del procedimiento no incluye: A. Revisin de manuales tcnicos de los sistemas de informacin de la organizacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de todos los manuales de usuario de los sistemas de informacin de la organizacin con sus respectivos accesos por rea y usuario. B. Acceso a todos los manuales de usuarios de los sistemas de informacin de la organizacin. C. Procedimiento para otorgar accesos a los manuales de usuario.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. 176

B. Revisar los manuales de usuario de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. Verificar lo siguiente: a) b) Existencia de los manuales de usuario. Por cada manual de usuario revisar: Suficiencia de las opciones tratadas. Deben estar incluidas todas y cada una de las opciones del sistema de informacin en el manual de usuario. Claridad de los textos y herramientas grficas. La explicacin sobre el uso de cada opcin debe conducir a un autoaprendizaje por parte del usuario. Para ello es necesario que se disponga de herramientas grficas adems de las pantallas del sistema.

C. Verificar el acceso de los usuarios a los manuales. Los usuarios de los sistemas de informacin necesitan tener el acceso de lectura sobre los manuales de usuario, los cuales comnmente se encuentran en un directorio compartido o en la Intranet de la organizacin. De no tener el acceso, por lo menos debe existir una relacin de manuales de usuario para que cuando se requiera, el usuario sepa de su existencia. D. Revisar el procedimiento para otorgar accesos a los manuales de usuario de la organizacin. El procedimiento debe incluir como mnimo la aprobacin del jefe o gerente de rea junto a la revisin de la Unidad de Riesgos, en caso exista. E. Analizar la prdida de valor que se podra originar en caso no se tuviera los manuales de usuario de los sistemas de informacin o se otorgara un acceso indebido. Calcular cunto dinero podra perder la organizacin si alguien tuviera acceso a un manual de usuario (junto al acceso indebido al sistema de informacin correspondiente) e hiciera un dao mnimo o un dao total sobre la base de datos, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene manuales de usuario de los sistemas de informacin desarrollados por personal contratado directamente. B. La organizacin no exige a los proveedores de sistemas de informacin, el desarrollo y entrega de manuales de usuario. C. Los manuales de usuario son muy simples y no cubren las necesidades de aprendizaje de los sistemas de informacin.

177

P036: PROCEDIMIENTO PARA LA AUDITORA DE LA ARQUITECTURA DE LA RED DE TECNOLOGAS DE INFORMACIN


OBJETIVO Analizar y evaluar la Arquitectura de la Red de Tecnologas de Informacin24 de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento de la ARTI. B. Verificacin fsica de la ARTI. C. Evaluacin de la probable prdida de valor por errores en la ARTI.

El alcance del procedimiento no incluye: A. Evaluacin de los sistemas de informacin que operan sobre la ARTI.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Informtica. B. Documento de la ARTI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento de la ARTI. a) Revisar los siguientes tipos de hardware en los diversos locales en cada edificio, pISO/IEC y oficina (no necesariamente deben estar todos): Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Ej: verificar que el cableado est colocado ordenadamente en estantes (racks) y en pisos tcnicos (falsos pisos).
24

En adelante se le llamar ARTI a la Arquitectura de la Red de Tecnologas de Informacin

178

Puntos de la Red de Datos. Ej: verificar cercana a motores y puntos conectores a la red de energa elctrica. Velocidad de los enlaces de las redes internas. Ej: 10 Mbps, 100 Mbps o 1000 Mbps. Equipos y velocidad de conexin a servicios Internet como lnea dedicada o lnea RDSI. Ej: 128 Kbps, 256 Kbps, 2 Mbps, etc. Equipos Servidores. Equipos Clientes. b) Revisar los siguientes tipos de software de base en los diversos locales en cada edificio, piso, servidor y oficina (no necesariamente deben estar todos): Sistemas Operativos. Servidores Proxy. Servidores Web. Servidores de Correo. Sistemas Administradores de Bases de Datos. Servidores de Aplicaciones. Servidores de Archivos. Servidores Backup. Servidores de Centrales Telefnicas.

C. Verificar fsicamente la ARTI. Verificar fsicamente que se encuentren todos los componentes descritos en el documento de la ARTI. Comprobar adems las velocidades de transmisin indicadas tanto en la red interna como en Internet u otro servicio de red dado por un proveedor. D. Evaluar la probable prdida de valor por errores en la ARTI. Calcular el monto en los equipos que no aparecen, software de base que se compr y nunca se us, servidores que fueron alquilados y no fueron reemplazados cuando pas la necesidad del alquiler, velocidades de transmisin que no permiten trabajar adecuadamente a los usuarios, etc.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un documento formal sobre la ARTI. B. La organizacin tiene un documento incompleto o desactualizado sobre la ARTI. C. La ARTI tiene tecnologas muy diversas que necesitan la creacin y mantenimiento de una serie de interfaces que implican mayor costo y tiempo de procesamiento y desarrollo. D. La ARTI se vuelve ms diversa con cada compra de aplicaciones a un proveedor. E. Se tiene arquitectura de software propietaria; es decir, la organizacin debe pagar licencias por la arquitectura de software de base que utiliza, pudiendo usar software libre. F. Se tiene arquitectura de hardware que condiciona que slo determinado tipo de software pueda funcionar sobre ella. 179

P037: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO A LOS SISTEMAS DE INFORMACIN


OBJETIVO Analizar y evaluar la seguridad de acceso a los sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los accesos del personal sobre las opciones de los diversos sistemas de informacin. B. Revisin del procedimiento para otorgar accesos al personal. C. Verificacin aleatoria sobre el permISO/IEC nico y exclusivo del personal a las opciones a las cuales se les ha otorgado acceso. D. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso o se otorgara un acceso indebido. El alcance del procedimiento no incluye: A. Verificacin de la seguridad de acceso a carpetas en servidores.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de todos los accesos de todos los usuarios sobre los sistemas de informacin. B. Procedimiento para otorgar accesos a los usuarios. C. Acceso a todos los sistemas de informacin que otorgan accesos en la organizacin, en modo lectura; es decir, acceso slo a opciones de consulta y reportes.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior.

180

B. Revisar detalladamente los accesos del personal sobre las opciones de los diversos sistemas de informacin. Por cada rea y usuario, revisar la lista de sistemas de informacin a los cuales puede acceder y por cada sistema de informacin, la lista de opciones. Verificar si el personal realmente necesita ingresar a un sistema de informacin u opcin. C. Revisar el procedimiento para otorgar accesos al personal. Verificar que incluya por lo menos lo siguiente: a) Autorizacin del gerente o jefe de rea del usuario. b) Verificacin de la Unidad de Riesgos, si existe. Es necesario sentarse con el operador que asigna los accesos y ver con detalle cmo realiza la asignacin de accesos en los diversos sistemas de informacin, a travs de ejemplos reales de acuerdo a los requerimientos que tiene pendientes. Observar cualquier tema irregular. D. Verificar de manera aleatoria el acceso nico y exclusivo del personal a las opciones a las cuales se les ha otorgado permiso. Realizar lo siguiente: a) Revisar que la pantalla de acceso tenga como mnimo la exigencia de ingresar el nombre de usuario y la clave. El sistema no debe permitir que existan claves vacas ni que se pueda fallar en el ingreso de la clave de manera indefinida (al tercer intento fallido debe evitar que siga intentando). b) Tomar una muestra estadstica aleatoria y estratificada del personal que tiene acceso a los sistemas de informacin y luego verificar que slo tengan acceso a lo asignado, tanto en la aplicacin como en la base de datos. E. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso a los sistemas de informacin o se otorgara un acceso indebido. Calcular cunto dinero podra perder la organizacin si alguien tuviera acceso a una opcin o sistema de informacin que no debe e hiciera dao mnimo o un dao total sobre la base de datos, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El personal puede ingresar a sistemas de informacin y opciones a las cuales no debera tener acceso. B. Diversas personas del rea de Tecnologa de la Informacin, manipulan directamente la base de datos. C. En la prctica, varias personas tienen acceso a asignar usuarios, adems de la persona responsable. D. En el mdulo de asignacin de accesos, se puede ver la clave de las personas. Adems, al tener acceso a la base de datos, tambin pueden hacer lo mismo.

181

E. Se tienen que realizar operaciones manuales (con comandos sobre la base de datos) para asignar accesos en algunos casos, dado que falla el programa de asignacin de accesos. F. Los sistemas de informacin permiten que se ingrese con claves vacas, o claves que son iguales al nombre de usuario.

P038: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO A LAS CARPETAS EN LOS SERVIDORES
OBJETIVO Analizar y evaluar la seguridad de acceso a las carpetas en los servidores de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los accesos del personal sobre las carpetas en los servidores. B. Revisin del procedimiento para otorgar accesos al personal. C. Verificacin aleatoria sobre el permISO/IEC nico y exclusivo del personal a las carpetas de los servidores, a las cuales se les ha otorgado acceso. D. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso o se otorgara un acceso indebido. El alcance del procedimiento no incluye: A. Verificacin de la seguridad de acceso a los sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de todos los accesos de todos los usuarios sobre las carpetas de los servidores. En el listado debe indicarse claramente la ruta de red por cada carpeta. B. Procedimiento para otorgar accesos a los usuarios sobre las carpetas de los servidores.

182

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente los accesos del personal sobre las carpetas de los servidores. Por cada rea y usuario, revisar la lista de carpetas a las cuales puede acceder. Verificar si el personal realmente necesita ingresar a una carpeta. C. Revisar el procedimiento para otorgar accesos sobre las carpetas de los servidores. Verificar que incluya por lo menos lo siguiente: a) b) Autorizacin del gerente o jefe de rea del usuario. Verificacin de la Unidad de Riesgos, si existe.

Es necesario sentarse con el operador que asigna los accesos y ver con detalle cmo realiza la asignacin de accesos de las carpetas, a travs de ejemplos reales de acuerdo a los requerimientos que tiene pendientes. Observar cualquier tema irregular. D. Verificar de manera aleatoria el acceso nico y exclusivo del personal a las carpetas a las cuales se les ha otorgado permiso. Para ello es necesario tomar una muestra estadstica estratificada del personal que tiene acceso a carpetas y luego realizar lo siguiente: Para cada usuario de la muestra, realizar lo siguiente: Ingresar al explorador de archivos25 en la computadora del usuario. Elegir 3 carpetas al azar, a las cuales el usuario no tenga acceso. Elegir 3 carpetas al azar, a las cuales el usuario tenga acceso. Para cada carpeta elegida en las lneas anteriores, realizar lo siguiente: Ingresar la ruta en la cual se encuentra la carpeta. Pulsar Enter. Verificar que el usuario pueda ver el contenido de la carpeta slo si tiene el acceso. Verificar si el usuario tiene permISO/IEC de lectura o escritura, segn sea el acceso.

E. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso a las carpetas o se otorgara un acceso indebido. Calcular cunto dinero podra perder la organizacin si alguien tuviera acceso a una carpeta que no debe e hiciera dao mnimo o un dao total sobre los archivos de la carpeta, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones:

25

Explorador de Windows en el sistema operativo Windows.

183

A. El personal usuario puede ingresar a carpetas a las cuales no debera tener acceso. B. Diversas personas del rea de Tecnologa de Informacin, pueden acceder a carpetas a las cuales no deberan tener acceso. C. En la prctica, varias personas tienen acceso a asignar carpetas, adems de la persona responsable.

P039: PROCEDIMIENTO PARA LA AUDITORA DE LOS MANUALES DE PROCEDIMIENTOS DE SOPORTE TCNICO


OBJETIVO Analizar y evaluar los manuales de procedimientos de soporte tcnico de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin de la existencia de procedimientos en cantidad suficiente para cubrir las principales operaciones de soporte tcnico. B. Revisin del contenido de los procedimientos de soporte tcnico. El alcance del procedimiento no incluye: A. Evaluacin de los manuales de procedimientos de desarrollo de sistemas.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologas. B. Manuales de Procedimientos.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar el cumplimiento de los procedimientos de acuerdo a la metodologa que se tenga como base.

184

C. Verificar la existencia de procedimientos en cantidad suficiente para cubrir las principales operaciones de soporte tcnico. Debe incluirse en el manual, procedimientos para: a) Help Desk. Consultas de usuarios. Instalacin de software de base. Instalacin de piezas y equipos de cmputo y red. Atencin de fallas en hardware de equipos de cmputo y red. Atencin de fallas en software de base instalado. b) Programacin de Tareas. Cierres peridicos. Tareas de las bases de datos. Tareas referentes a los servidores de correo. c) Correo. Configuracin de cuentas de correo internas. Configuracin de cuentas de correo externas. Configuraciones de proteccin contra cdigo malicioso. Configuraciones de proteccin contra correos no deseados (spam). Tareas de mantenimiento. d) Seguridad de la Informacin. Accesos. Accesos Fsicos. Accesos Lgicos. Considerar: Sistemas Operativos, Sistemas de Informacin, Software de Base, Envo de correos Externos, etc. Proteccin contra intrusos. Proteccin contra correos no deseados. Proteccin contra cdigo malicioso: virus, spyware, adware, worms, etc. Copias de respaldo de la informacin. Incluir: Bases de datos. Archivos de usuarios. Carpetas compartidas en servidores. Configuraciones de Servidores. Correo Electrnico. Software de Base. Cdigo fuente de desarrollos de sistemas de informacin, etc. D. Revisar el contenido de los procedimientos de soporte tcnico. Verificar que el contenido de cada procedimiento tenga lo necesario para cumplir su objetivo.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene manuales de procedimientos de soporte tcnico. B. Los manuales de procedimientos de soporte tcnico estn incompletos o no estn actualizados.

185

P040: PROCEDIMIENTO PARA LA AUDITORA DE LOS MANUALES DE PROCEDIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los manuales de procedimientos de desarrollo de sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin de la existencia de procedimientos en cantidad suficiente para cubrir las principales operaciones de desarrollo de sistemas de informacin. B. Revisin del contenido de los procedimientos de desarrollo de sistemas de informacin. El alcance del procedimiento no incluye: A. Evaluacin de los manuales de procedimientos de soporte tcnico.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologas de Desarrollo de Sistemas de Informacin. B. Manuales de Procedimientos.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar el cumplimiento de los procedimientos de acuerdo a la metodologa que se tenga como base. C. Verificar la existencia de procedimientos en cantidad suficiente para cubrir las principales operaciones de desarrollo de sistemas de informacin. Debe incluirse en el manual, procedimientos para: a) b) c) d) Priorizar la atencin de requerimientos. Analizar los requerimientos. Actualizar la base de datos. Programar nuevas transacciones o modificaciones de transacciones existentes. e) Probar los desarrollos. 186

f) g) h) i)

Corregir errores. Aprobar los desarrollos. Liberar nuevas versiones de los programas. En general, se debe verificar que existan los procedimientos suficientes para cubrir las diversas actividades de la metodologa de desarrollo de sistemas de informacin de la organizacin, la cual debe estar basada como mnimo en los procesos del ciclo de vida del software.

D. Revisar el contenido de los procedimientos de desarrollo de sistemas de informacin. Verificar que el contenido de cada procedimiento tenga lo necesario para cumplir su objetivo.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene manuales de procedimientos de desarrollo de sistemas de informacin. B. Los manuales de procedimientos de desarrollo de sistemas de informacin estn incompletos o no estn actualizados. C. Se tiene metodologas y procedimientos para el desarrollo de sistemas de informacin bastante buenos; sin embargo, no se cumplen en la prctica.

P041: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE ENTREGABLES DE PROYECTOS Y REQUERIMIENTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los formularios de control de entregables de proyectos y requerimientos de desarrollo de sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los formularios de control de entregables de proyectos y requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. B. Anlisis de la generacin de valor relativa a la correcta o incorrecta emisin de los formularios de control de entregables.

187

El alcance del procedimiento no incluye: A. Evaluacin de formularios de control de entregables referidos a requerimientos de soporte tcnico.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. Formularios de control de entregables de desarrollo o mantenimiento cuando la realiza personal interno. D. Formularios de control de entregables de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el formulario de control de entregables de proyectos y requerimientos de desarrollo de sistemas de informacin, con personal interno. Verificar que contenga por lo menos los siguientes datos: a) b) c) d) e) f) g) Nombre del Proyecto (en caso que el requerimiento sea parte de un proyecto). Requerimiento. Fecha de Inicio. Fecha de Fin. Aprobacin de Control de Calidad del rea de Tecnologa de la Informacin. Aprobacin de por lo menos un usuario del requerimiento. Aprobacin de la gerencia o gerencias usuarias del requerimiento.

C. Analizar la generacin de valor relativa a la correcta o incorrecta emisin de los formularios de control de entregables. Calcular cunto dinero ha perdido o podra perder la organizacin por no controlar adecuadamente los entregables de los proyectos o requerimientos de desarrollo o mantenimiento de sistemas de informacin.

188

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Los entregables son aceptados sin ser revisados por el usuario o el rea de Tecnologa de Informacin. B. Los entregables son revisados sin haberse realizado todas las pruebas estndares para el control de calidad.

P042: PROCEDIMIENTO PARA REALIZAR SEGUIMIENTO DE INFORMES DE AUDITORA INTERNA


OBJETIVO Dar las pautas para realizar seguimiento a los informes anteriores de auditora interna, lo cual se realiza como parte de la labor rutinaria del rea de Auditora Interna.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los informes de auditora interna anteriores. B. Verificacin de la inclusin de las observaciones de los informes de auditora interna anteriores en el seguimiento. C. Verificacin de la inclusin de las observaciones de los informes de auditora externa (auditores externos u organismos reguladores) anteriores en el seguimiento. D. Identificacin de las observaciones de informes anteriores que a la fecha no hayan sido subsanadas. E. Realizacin del seguimiento de las observaciones descritas en el punto C. El alcance del procedimiento no incluye: A. Evaluacin o juicio de la calidad de los informes pasados.

ENTRADAS Para realizar esta actividad se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes de Auditora Interna.

189

B. Informes de Auditora Externa, tanto de auditores externos como organismos reguladores. C. Documentacin que ha presentado el rea auditada para levantar las observaciones descritas en los informes.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente los informes de auditora interna anteriores. C. Verificar la inclusin de las observaciones de los informes de auditora interna anteriores en el seguimiento. Revisar que no slo estn las observaciones del informe anterior, sino tambin todas las observaciones que an no estn subsanadas de informes de mayor antigedad. D. Verificar la inclusin de las observaciones de los informes de auditora externa (tanto de auditores externos como organismos reguladores) anteriores en el seguimiento. Revisar que no slo estn las observaciones del informe anterior, sino tambin todas las observaciones que an no estn subsanadas de informes de mayor antigedad. E. Identificar las observaciones de informes anteriores que a la fecha no hayan sido subsanadas. Resaltar aquellas observaciones que la gerencia auditada ha dicho que estaran subsanadas a la fecha de la revisin. F. Realizar el seguimiento de las observaciones de informes anteriores que a la fecha no hayan sido subsanadas. Revisar detalladamente la informacin y posteriormente se debe realizar muestreos, inspecciones y entrevistas para constatar las acciones realizadas para subsanar cada observacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Las reas auditadas no han avanzado las acciones para levantar las observaciones. B. Las reas auditadas han avanzado parcialmente las acciones para levantar las observaciones. C. Las reas auditadas reportan como concluidas, acciones que no se han realizado o se encuentran en proceso.

190

P043: PROCEDIMIENTO PARA REALIZAR SEGUIMIENTO DE INFORMES DE AUDITORA EXTERNA


OBJETIVO Dar las pautas para realizar seguimiento de informes anteriores de auditora externa, lo cual se realiza como parte de la labor de auditora interna.

ALCANCE El alcance del procedimiento incluye: A. Revisin de los informes de auditora externa anteriores, tanto de auditores externos contratados como auditores del organismo regulador. B. Verificacin de la inclusin de las observaciones de los informes de auditora externa anteriores en el seguimiento de los informes de auditora interna. El alcance del procedimiento no incluye: A. Seguimiento de informes de auditora interna.

ENTRADAS Para realizar esta actividad se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes de Auditora Externa (de auditores reguladores). B. Informes de Seguimiento de Auditora Interna. externos u organismos

PROCESO A. Revisar la informacin indicada en la seccin anterior. B. Revisar los informes de auditora externa anteriores, tanto de auditores externos contratados como auditores del organismo regulador. Resaltar aquellas observaciones que a la fecha de la revisin, la gerencia auditada haba indicado que estaran subsanadas. C. Verificar la inclusin de las observaciones de los informes de auditora externa anteriores en el seguimiento de los informes de auditora interna. Verificar que se hayan incluido tanto las observaciones de auditores externos contratados como las observaciones del organismo regulador.

191

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Las reas auditadas no han avanzado las acciones para levantar las observaciones. B. Las reas auditadas han avanzado parcialmente las acciones para levantar las observaciones. C. Las reas auditadas reportan como concluidas, acciones que no se han realizado o se encuentran en proceso.

P044: PROCEDIMIENTO PARA LA AUDITORA DE CERTIFICACIONES DE CALIDAD DE TECNOLOGA DE INFORMACIN


OBJETIVO Analizar y evaluar las certificaciones de calidad de la organizacin, relativas a las tecnologas de informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Identificacin de las certificaciones de calidad relativas a las TI en la organizacin. B. Revisin de los requerimientos de cada una de las certificaciones de calidad relativas a las TI en la organizacin. C. Evaluacin del cumplimiento de los requerimientos certificaciones de calidad relativas a las TI. que exigen las

D. Anlisis de generacin de valor debido a las certificaciones de calidad relativas a las tecnologas de informacin. El alcance del procedimiento no incluye: A. Evaluacin de la conveniencia de la eleccin de una certificacin u otra.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo en evaluacin, la siguiente informacin: A. Listado de certificaciones de calidad relativas a las TI.

192

B. Listado de requerimientos de cada una de las certificaciones de calidad relativas a las TI. C. Manuales de Calidad relativos a las TI. D. Metodologas relativas a las TI. E. Manuales de Organizacin y Funciones relativos a las TI. F. Manuales de Procedimientos relativos a las TI. G. En general, solicitar todo documentos elaborado en cumplimiento de los requerimientos de las certificaciones de calidad relativas a las TI.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Identificar las certificaciones de calidad relativas a las TI y su gestin en la organizacin. Verificar que exista alguna de las siguientes certificaciones de calidad a nivel de la organizacin o a nivel del personal de reas relativas a las TI como la Jefatura o Gerencia de Sistemas, el rea de Riesgos y el rea de Auditora Interna: Capability Maturity Model - CMM. International Organization for Standardization - ISO. Ej: ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 13236, etc. Information Technology Infrastructure Library ITIL. Project Management Institute - PMI. Ej: Project Management Professional (PMP). Information Systems Audit and Control Asociation ISACA. Ej: Certified Information Systems Auditor (CISA), y Certified Information Security Management (CISM). C. Revisar los requerimientos de cada una de las certificaciones de calidad relativas a las TI que posee la organizacin. Revisar tanto los documentos como las acciones que exigen las certificaciones de calidad relativas a las TI. D. Evaluar el cumplimiento de los requerimientos que exigen las certificaciones de calidad relativas a las TI. Evaluar tanto el cumplimiento de los requerimientos, como las acciones que se hayan realizado o se estn realizando para el cumplimiento de dichos requerimientos. E. Analizar la generacin de valor debido a las certificaciones de calidad relativas a las TI. Analizar el incremento o la disminucin de valor debido al cumplimiento o la falta de cumplimiento de los requerimientos de las certificaciones de calidad relativas a las TI en la organizacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no est preparada para revalidar la certificacin de calidad. B. La organizacin tiene una certificacin de calidad relativa a las TI; pero, no cumple con los requerimientos que la certificacin estipula. 193

P045: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE DESEMPEO DEL REA DE TECNOLOGA DE INFORMACIN
OBJETIVO Analizar y evaluar el proceso de evaluacin del desempeo del rea de Tecnologa de la Informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de las evaluaciones de desempeo del rea de Tecnologa de Informacin. B. Revisin de auditoras realizadas al rea de Tecnologa de la Informacin. C. Anlisis de la probable prdida de valor por una inadecuada evaluacin de desempeo al rea de tecnologa de la informacin. El alcance del procedimiento no incluye: A. Revisin de la evaluacin de desempeo al personal del rea de Tecnologa de Informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes de evaluacin de desempeo realizadas al rea de Tecnologa de la Informacin. B. Informes de auditora realizadas al rea de Tecnologa de Informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar las evaluaciones de desempeo del rea de Tecnologa de Informacin. Verificar que las evaluaciones de desempeo tengan un fuerte componente de la evaluacin por parte de los usuarios de los servicios del rea de Tecnologa de Informacin y que sea coherente con los logros obtenidos por esta rea durante el perodo en evaluacin, de acuerdo a lo que establece el Plan Estratgico de la organizacin. Revisar adems si se ha producido mejoras en el desempeo comparando la informacin de varios perodos consecutivos.

194

En general, las evaluaciones de desempeo deben referirse a la eficiencia y la eficacia de la gerencia del rea de Tecnologa de Informacin. C. Revisar las auditoras realizadas al rea de Tecnologa de la Informacin. Verificar si las auditoras realizadas cubren los aspectos siguientes: a) b) c) d) Planificacin y Organizacin. Adquisicin e Implementacin. Entrega de Servicios y Soporte. Monitoreo y Control.

D. Analizar la probable prdida de valor por una inadecuada evaluacin de desempeo al rea de tecnologa de la informacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza evaluaciones de desempeo al rea de Tecnologa de Informacin. B. Las evaluaciones de desempeo al rea de Tecnologa de Informacin no reflejan el sentir de los usuarios sobre la calidad del servicio recibido. C. Las evaluaciones de desempeo y los informes de auditora no guardan concordancia en cuanto a la eficiencia y la eficacia de la gerencia del rea de Tecnologa de Informacin. D. La organizacin no realiza auditoras al rea de Tecnologa de Informacin. E. La organizacin realiza auditoras al rea de Tecnologa de Informacin sin ninguna metodologa formal. Comnmente se evala la ejecucin de las actividades realizadas, sin hacer un anlisis de la planificacin, la organizacin, el monitoreo y el control.

P046: PROCEDIMIENTO PARA LA AUDITORA DE LA EVALUACIN DE DESEMPEO DEL PERSONAL DE TECNOLOGA DE INFORMACIN
OBJETIVO Analizar y evaluar el resultado de la evaluacin de desempeo del personal del rea de Tecnologa de la Informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de las evaluaciones de desempeo al personal del rea de Tecnologa de la Informacin. 195

B. Revisin de los informes de auditora al rea de Tecnologa de la Informacin. C. Anlisis de generacin de valor de la evaluacin de desempeo del personal del rea de Tecnologa de la Informacin. El alcance del procedimiento no incluye: A. Revisin de la evaluacin de desempeo del rea de Tecnologa de la Informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes de evaluacin de desempeo realizadas al personal del rea de Tecnologa de Informacin. B. Informes de auditora al rea de Tecnologa de Informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la evaluacin de desempeo al personal del rea de Tecnologa de la Informacin. Verificar que la evaluacin tenga un fuerte componente de calificacin de las reas usuarias de los servicios del personal del rea de Tecnologa de la Informacin. La evaluacin debe incluir la calificacin de: jefes, compaeros de rea, clientes de servicio tanto internos como externos y proveedores de bienes o servicios tanto internos como externos. Verificar tambin si el personal ha mejorado o empeorado su desempeo comparando las evaluaciones realizadas en perodos consecutivos. La evaluacin de desempeo debe incluir desarrollo de competencias para la planificacin, ejecucin, seguimiento y control del trabajo que desempeas. Las competencias directivas, son mucho ms relevantes para personal que tiene recursos humanos a su cargo. C. Revisar los informes de auditora al rea de Tecnologa de la Informacin. Verificar en especial las observaciones relativas a un mal desempeo especfico del personal del rea de Tecnologa de la Informacin y verificar adems, su concordancia con la evaluacin de desempeo realizada. D. Analizar la generacin de valor de la evaluacin de desempeo del personal del rea de Tecnologa de Informacin. Es necesario evaluar si producto de una evaluacin de desempeo, el personal mejor su desempeo y es necesario calcular cunto signific en trminos monetarios la mejora organizacional producto de dicha evaluacin.

196

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza evaluaciones de desempeo sobre el personal del rea de Tecnologa de Informacin. B. Las diversas reas usuarias colocan una calificacin baja o muy baja a la calidad del servicio que ofrece el personal del rea de Tecnologa de Informacin. C. La evaluacin de desempeo realizada sobre el personal no coincide con lo expresado en los informes de auditora.

P047: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE CAMBIOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los formularios de control de cambios de proyectos de compra o desarrollo de sistemas de informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. B. Revisin de los formularios de control de cambios funcionales en proyectos. C. Revisin de los formularios de control de cambios tcnicos en proyectos. D. Asignacin de versin al mdulo u opcin afectada por el cambio solicitado. E. Anlisis de la probable prdida de valor por la falta de registro de formularios de control de cambios. El alcance del procedimiento no incluye: A. Evaluacin de la metodologa de atencin de requerimientos de soporte tcnico.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: 197

A. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. Formularios de control de cambios funcionales en proyectos. D. Formularios de control de cambios tcnicos en proyectos.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. Verificar que la metodologa contenga el uso de formularios de control de cambios funcionales y cambios tcnicos en los proyectos. C. Revisar de los formularios de control de cambios funcionales en proyectos. Verificar que contenga como mnimo la siguiente informacin: a) Datos Generales del Cambio Solicitado: Nombre del Proyecto Nombre del Documento Versin del Documento Mdulo sobre el cual se aplicar el cambio. Nombre de la Opcin del Mdulo sobre la cual se aplicar el cambio. Transaccin sobre la cual se aplicar el cambio. Usuarios Involucrados. Analista Responsable. Programa. Fecha y hora. b) Descripcin funcional detallada del cambio solicitado. Puntos y/o acuerdos pendientes. Descripcin del impacto dentro del sistema. Describir tareas que se tendr que realizar a consecuencia del cambio. Cambios a realizar en la base de datos. Firma del Analista Asignado. Firma del Usuario Responsable de la solicitud del cambio. D. Revisar de los formularios de control de cambios tcnicos en proyectos. Verificar que contenga como mnimo lo siguiente: a) b) c) d) Desarrollador. Fecha y Hora de los cambios. Nuevas transacciones o errores corregidos mediante el cambio. Detalle de los cambios a nivel de aplicaciones en el cliente. Detalle de los cambios en cdigo fuente cliente. Ej: Java Script. Detalle de cambios en imgenes. Detalle de cambios en estilos. Detalle de cambios en textos. Detalle de cambios en efectos visuales, etc. 198

e) Detalle de los cambios a nivel de aplicaciones en el servidor. Detalle de los cambios en cdigo fuente. Ej: cdigo fuente en servidor web como ASP PHP. Detalle de cambios en libreras de cdigo fuente u objetos. Detalle de los cambios en servidor de bases de datos. Cambios en tablas. Ej: nombre, inclusin, modificacin o eliminacin de tablas. Cambios en campos. Ej: nombre, inclusin, modificacin o eliminacin de campos. Cambios en procedimientos almacenados (stored procedures). Cambios en programas de activacin automtica (triggers). Cambios en reglas. Cambios en restricciones. Cambios en definicin de usuarios de la base de datos, etc. F. Asignar versin al mdulo u opcin afectada por el cambio solicitado. Verificar que se haya llenado la hoja de control de versiones y se haya asignado la versin correcta (un nmero correlativo o decimales sobre el nmero existente dependiendo de la importancia de los cambios). La hoja de control de versiones debe contener como mnimo la siguiente informacin: a) Datos Generales sobre la Versin: Fecha y hora de la versin. Versin. Base de datos primaria. Idioma. b) Datos sobre el desarrollo. Considerar el tiempo estimado, el tiempo real y la diferencia entre las fechas y horas de inicio y fin de la versin. c) Datos sobre las pruebas. Considerar el tiempo estimado, el tiempo real y la diferencia entre las fechas y horas de inicio y fin de la versin. d) Alcances: Transaccin, Reporte o Proceso Batch (en lote). Error. Prioridad de atencin del error. Programador Responsable. Reponsable de las pruebas. Tiempo Estimado. Tiempo Real. Indicador de Logro (s o no). e) Resultados por cada uno de los recursos participantes: Recurso. Das y horas trabajados. Tipo de desempeo realizado. Ej: alto, medio y bajo. Comentarios del evaluador. Comentarios del evaluado. Firma del evaluador. f) Comentarios Generales. G. Analizar la probable prdida de valor por la falta de registro de formularios de control de cambios. Analizar la probable prdida de valor por fallas o gastos en exceso.

199

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no documenta los cambios en los proyectos a nivel funcional. B. La organizacin no documenta los cambios en los proyectos a nivel tcnico. C. Los cambios registrados no tienen toda la documentacin que los sustente. D. Se realizan muchos cambios sin las respectivas aprobaciones del personal encargado.

P048: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE RIESGOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los formularios de control de riesgos en proyectos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. B. Revisin de los formularios de control de riesgos. C. Anlisis de la generacin de valor relativa a la evaluacin de riesgos en proyectos de este tipo. El alcance del procedimiento no incluye: A. Revisin de la metodologa de evaluacin de riesgos de la organizacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. Formularios de control de riesgos de proyectos. 200

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. Verificar que la metodologa contenga el uso de formularios de control de riesgos en los proyectos. C. Revisar los formularios de control de riesgos de proyectos. Verificar que contengan como mnimo la siguiente informacin: a) b) c) d) e) f) g) h) i) j) Riesgo Identificado. Fecha y hora de identificacin. Causas. Efectos Probables. Acciones a realizar para minimizar el riesgo. Rango de fechas en las cuales se ejecutarn las acciones. Recursos necesarios para ejecutar las acciones para minimizar el riesgo. Responsable de la ejecucin de las acciones para minimizar el riesgo. Nombre y Firma del Jefe de Proyecto del rea de Tecnologa de la Informacin y el proveedor (en caso exista un proveedor). Nombre y Firma del Lder de Usuarios.

D. Analizar la probable prdida de valor por la falta de registro de formularios de control de riesgos. Analizar la probable prdida de valor por fallas o gastos en exceso.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza procesos de evaluacin de riesgos en los proyectos de compra o desarrollo de sistemas de informacin. B. La organizacin no documenta los riesgos en los proyectos de compra o desarrollo de sistemas de informacin. C. La organizacin no realiza acciones para prevenir los riesgos en los proyectos de compra o desarrollo de sistemas de informacin. D. La organizacin identifica los riesgos y propone acciones para mitigar sus efectos; sin embargo, estas acciones no son realizadas y no se hace seguimiento de su realizacin.

201

P049: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE SEGUIMIENTO DE AVANCES EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar los formularios de seguimiento de avances en proyectos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de las metodologas de compra o desarrollo de sistemas de informacin de la organizacin. B. Revisin de los formularios de seguimiento de avances de proyectos. C. Anlisis de la generacin de valor relativa al seguimiento de avances en los proyectos. El alcance del procedimiento no incluye: A. Evaluacin completa de los proyectos de compra o desarrollo de sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de desarrollo de sistemas de informacin de la organizacin. B. Metodologa de compra de sistemas de informacin de la organizacin. C. Formularios de seguimiento de avances de proyectos de compra o desarrollo de sistemas de informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar las metodologas de compra o desarrollo de sistemas de informacin de la organizacin. Verificar que incluyan la elaboracin de formularios de seguimiento de avances de proyectos.

202

C. Revisar los formularios de seguimiento de avances de proyectos. Verificar que cada formato contenga como mnimo la siguiente informacin: a) b) c) d) e) f) g) h) i) j) Nombre del Proyecto. Fecha de Emisin del Formato de seguimiento de avances. Rango de fechas del reporte de avance. Actividades. Fechas de inicio y fin planificadas de cada actividad. Fechas de inicio y fin reales de cada actividad. Porcentaje de avance de las actividades. Recursos asignados inicialmente a las actividades. Recursos asignados realmente a las actividades. Nombre y firma del Jefe de Proyecto del rea de Tecnologa de la Informacin o el proveedor.

D. Analizar la prdida de valor que se podra originar por un inadecuado seguimiento de avances en proyectos de compra o desarrollo de sistemas de informacin. Verificar probables prdidas por pagos de servicios no efectuados o demoras por asignacin de recursos que no eran los adecuados.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza un adecuado seguimiento de avances de proyectos. B. La organizacin no registra formularios de seguimiento de avances de proyectos. C. Se pierde dinero por pagos de actividades que nunca fueron realizadas en los proyectos.

P050: PROCEDIMIENTO PARA LA AUDITORA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN
OBJETIVO Analizar y evaluar el control de calidad en la atencin de requerimientos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores.

203

B. Revisin detallada del proceso de control de calidad inmerso en la metodologa de desarrollo de sistemas de informacin de la organizacin. C. Anlisis de la generacin de valor relativa al control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin. El alcance del procedimiento no incluye: A. Evaluacin del control de calidad de la atencin de requerimientos de soporte tcnico.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. Documentacin del proceso de control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores. Verificar que se incluya procesos de control de calidad dentro de la metodologa. C. Revisar detalladamente el proceso de control de calidad inmerso en la metodologa de desarrollo de sistemas de informacin de la organizacin. Verificar que el proceso de control de calidad incluya como mnimo las siguientes pruebas: a) Verificacin de las especificaciones funcionales y tcnicas. Verificar que las especificaciones funcionales y tcnicas del sistema, sean las necesarias para cubrir los requerimientos de los usuarios. b) Pruebas de Interfase Grfica de Usuario. Verificar: Estndares de tamaos y tipos de letra. Estndares de tamaos y colores de formularios. Estndares de tamaos de imgenes. Existencia de ayudas de texto y grfico. c) Pruebas de Caja Negra. Verificar el cumplimiento de las especificaciones funcionales descritas en los formatos de control de cambios, tanto de las modificaciones como los nuevos requerimientos. 204

d) Pruebas de Caja Blanca. Revisar detalladamente el cdigo fuente de las aplicaciones, objetos, stored procedures (procedimientos almacenados) y triggers (programas que se activan ante algn evento sobre la base de datos). Verificar que lo revisado cumpla con las especificaciones funcionales y tcnicas acordadas. e) Pruebas de Integracin. Verificar que sea posible el acceso sin mensajes de error o problemas de algn tipo, a todas y cada una de las opciones partiendo del mdulo ms general a la opcin ms especfica (integracin descendente) y viceversa (integracin ascendente). f) Pruebas de Resistencia o Estrs. Verificar que las aplicaciones sean eficientes con un volumen de datos de acuerdo a las necesidades actuales y futuras, proyectndonos sobre la base del tiempo de vida del sistema de informacin.

g) Pruebas de Seguridad. Verificar que slo personal autorizado tenga acceso a las diversas opciones del sistema. h) Pruebas de Registro de Pistas de Auditora. Verificar el registro de por lo menos el usuario, as como la fecha y hora de la ltima modificacin sobre las tablas crticas. Verificar tambin en aquellas tablas que lo requieran, el registro de movimientos o relacin de actualizaciones realizadas, junto al usuario y la fecha y hora de cada una de las modificaciones. D. Analizar la prdida de valor que se podra originar por un inadecuado control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin. Valorizar los costos de los errores cometidos por el inadecuado control de calidad.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza control de calidad en la atencin de requerimientos de desarrollo de sistemas de informacin. B. La organizacin realiza un inadecuado control de calidad en la atencin de requerimientos de desarrollo de sistemas de informacin. El control de calidad no sigue ninguna metodologa ni se toma en cuenta puntos realmente importantes a evaluar.

205

P051: PROCEDIMIENTO PARA LA AUDITORA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO
OBJETIVO Analizar y evaluar el control de calidad de la atencin de requerimientos de soporte tcnico, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de soporte tcnico, tanto los realizados por la organizacin como los realizados por proveedores. B. Revisin detallada del proceso de control de calidad inmerso en la metodologa de atencin de requerimientos de soporte tcnico. C. Anlisis de la generacin de valor del control de calidad de la atencin de requerimientos de soporte tcnico. El alcance del procedimiento no incluye: A. Evaluacin del control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza un proveedor. C. Documentacin del proceso de control de calidad de la atencin de requerimientos de soporte tcnico.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior.

206

B. Revisar la metodologa de atencin de requerimientos de soporte tcnico, tanto los realizados por la organizacin como los realizados por proveedores. Verificar que tenga inmerso un proceso de control de calidad. C. Revisar detalladamente el proceso de control de calidad inmerso en la metodologa de atencin de requerimientos de soporte tcnico. Verificar que el control de calidad contenga como mnimo lo siguiente: a) Cumplimiento de los requerimientos de correcciones o mejoras estipuladas inicialmente, tanto en funcionalidad, documentacin y tiempo de entrega. b) Condiciones de finalizacin segn cada tipo de requerimiento. Ej: correcto funcionamiento del software instalado, correcto funcionamiento del hardware instalado, valores apropiados en mediciones elctricas, restriccin real del acceso a determinados dispositivos o servicios tanto dentro como fuera de los locales de la organizacin, etc. D. Analizar la prdida de valor que se podra originar por un inadecuado control de calidad de la atencin de requerimientos de soporte tcnico. Valorizar los costos de los errores cometidos por un inadecuado control de calidad.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza control de calidad en la atencin de requerimientos de soporte tcnico. B. La organizacin realiza un inadecuado control de calidad en la atencin de requerimientos de soporte tcnico. El control de calidad no sigue ninguna metodologa ni se toma en cuenta puntos realmente importantes a evaluar.

P052: PROCEDIMIENTO PARA ENTREVISTAR A LOS USUARIOS DE LAS TECNOLOGAS DE INFORMACIN


OBJETIVO Dar las pautas para la correcta ejecucin de entrevistas a los usuarios de las tecnologas de informacin, las cuales se realizan como parte de la labor de auditora.

ALCANCE El alcance del procedimiento incluye: A. Coordinacin de citas para las entrevistas. B. Desarrollo de las entrevistas.

207

El alcance del procedimiento no incluye: A. Evaluacin en la computadora del software que utiliza el entrevistado.

ENTRADAS Para realizar esta actividad se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Organigrama. B. Lista de telfonos y anexos de cada uno de los usuarios de las diversas reas de la organizacin. C. Procesos de cada una de las reas: los que son soportados con sistemas de informacin, los que son soportados con software de oficina y los que son realizados de manera manual.

PROCESO A continuacin se detalla las actividades a realizar para las entrevistas con los usuarios durante el desarrollo de la auditora de la gestin de tecnologas de informacin. a. Sacar citas con usuarios de cada una de las gerencias en la Oficina Principal. b. Sacar citas con cada una de las gerencias en las oficinas en provincias. El nmero de oficinas se determina el acuerdo al alcance de la auditora. c. Durante el desarrollo de cada cita: i. Tener a la mano el formato de resumen de entrevista. ii. Llenar los datos de la cabecera relativos a la entrevista: persona entrevistada, rea, cargo, auditor que realiza la entrevista, fecha y hora. iii. Reflexionar que debemos mantener en todo instante una actitud totalmente objetiva y no parcializarnos ni a favor ni en contra del rea de tecnologa de informacin. iv. Llenar la seccin Temas Tratados del formato de resumen de entrevista teniendo en cuenta las respuestas del usuario por lo siguiente: Velocidad y Calidad del Servicio de Soporte Tcnico. Consultar sobre: Las atenciones de requerimientos pendientes. Los requerimientos atendidos en el perodo en evaluacin y perodos anteriores. El servicio de la plataforma tecnolgica actual: correo, Intranet, velocidad de Internet, velocidad de uso de los sistemas de informacin, etc. Velocidad y Calidad del Servicio de Desarrollo de Sistemas de Informacin. Consultar sobre: Las atenciones de requerimientos pendientes. Los requerimientos atendidos en el perodo en evaluacin y perodos anteriores. El servicio de los sistemas de informacin actuales.

208

Cantidad de trabajo manual que realizan fuera del sistema. Considerar: Verificaciones de listados a mano. Clculos a mano. Clculos en hojas de clculo. Elaboracin de documentos en procesadores de texto.

De notar que el entrevistado no conoce el tema, pedir de manera corts el contacto con aquellos subordinados del entrevistado que sepan sobre el tema. Con los subordinados, repetir este mismo procedimiento (Punto C). v. Llenar la seccin Acuerdos sobre la base de: Informacin que el entrevistado ha quedado pendiente de enviar o encargar el envo. Indagaciones adicionales que ha sugerido el usuario al auditor, para que sean revisadas con mayor detenimiento. Reuniones futuras pactadas con el mismo entrevistado o con sus subordinados. Otros acuerdos relacionados con la auditora a los cuales se haya llegado. En caso de no existir acuerdos, colocar la palabra ninguno.

SALIDAS Al desarrollar esta actividad es comn escuchar o darnos cuenta de lo siguiente: A. Los usuarios gerentes comnmente no estn involucrados con los problemas relativos a las tecnologas de informacin. B. Los usuarios se quejan de la mala calidad del trato de Soporte Tcnico o rea de Infraestructura de Tecnologa de Informacin, o porque no les aclaran las dudas correctamente. C. Los usuarios se quejan de tener requerimientos pendientes de desarrollo desde hace varios aos. D. Los usuarios se quejan que los sistemas de informacin no cubren sus necesidades para el soporte de las transacciones diarias. E. Los usuarios se quejan del trato inadecuado ante la solicitud de nuevos requerimientos de opciones de sistemas de informacin. F. Los usuarios se quejan que los sistemas de informacin presentan muchas fallas. G. Los usuarios se quejan que las correcciones a las fallas demoran mucho en realizarse. H. Comnmente cada rea maneja entre 15 a 25 reportes en hojas de clculo, fuera del sistema, lo cual evidencia que los sistemas no estn diseados pensando en el mediano y largo plazo en cuanto a requerimientos futuros de reportes o necesidades de clculo.

209

P053: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES ELCTRICAS DE LOS EQUIPOS DE CMPUTO Y REDES
OBJETIVO Analizar y evaluar las instalaciones elctricas de los equipos de cmputo y redes de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de medidas y condiciones del pozo de tierra. B. Revisin de medidas y condiciones de cajas de control de la corriente elctrica. C. Revisin de medidas y condiciones de tomacorrientes de equipos de cmputo. D. Revisin de medidas y condiciones de equipos de suministro de energa elctrica: UPS y generador. E. Revisin de la frecuencia de los mantenimientos a las instalaciones de puesta a tierra. F. Anlisis de la prdida de valor que se podra originar por probables daos en las instalaciones elctricas. El alcance del procedimiento no incluye: A. Revisin tcnica detallada de las instalaciones elctricas.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de personas que tienen relacin con el mantenimiento de instalaciones elctricas o con los proveedores que las realizan, con sus respectivos anexos, telfonos o correos electrnicos. B. Normas vigentes para los sistemas de conexin a Tierra. En el caso peruano, se tiene las siguientes normas (PROCOBRE, 2005): NTP 370.052:1999 SEGURIDAD ELCTRICA. Materiales que constituyen el pozo de puesta a tierra. Eleccin de los materiales elctricos en las instalaciones interiores para la puesta a tierra.

210

NTP 370.053:1999 SEGURIDAD ELCTRICA. Enchufes y tomacorrientes con proteccin a tierra para uso domstico y uso general similar. NTP 370.054:1999 SEGURIDAD ELCTRICA. Sistema de Puesta a Tierra, Glosario de Trminos. NTP 370.055:1999 SEGURIDAD ELCTRICA. Electrodos de cobre para puesta a tierra. C. Plano de instalaciones elctricas de equipos de cmputo. Considerar: pozo de tierra, caja de control de la corriente elctrica, tomacorrientes de equipos de cmputo y equipos de suministro de energa elctrica (UPS y generador). D. Informes tcnicos de mantenimientos preventivos y correctivos anteriores.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin solicitada en la seccin anterior. B. Revisar medidas y condiciones del pozo de tierra de acuerdo a las normas vigentes. a) Verificar el clculo o la medicin de lo siguiente: Resistencia (RE). Debe ser menor a 5 ohms26. Ver procedimiento P063. Voltaje (UST). Ej: 0.9 V Frecuencia (FM). Ej: 111 Hz. Resistencia de la Estaca de Voltaje (RS). Ej: 0.100 K ohms. Resistencia de la Estaca de Corriente (RH). Ej: 0.100 K ohms. Seal de Medicin. Ej: 48 VAC. Tamao del Pozo de tierra. Ej: 2.5 m. alto y 1.0 m. de dimetro. b) Verificar las condiciones: El terreno o material usado para relleno no debe tener un ndice (pH) de acidez, que cause corrosin al electrodo. El pH debe estar entre 6 (cido) y 10 (alcalino). Si se usa materiales qumicos de relleno, verificar que no est en contra de las leyes de proteccin al ambiente. No debera usarse como relleno los siguientes materiales: arena, polvo de coque, ceniza, arcilla dura (no es adecuada ya que si es fuertemente compactada puede llegar a ser impermeable al agua y podra permanecer seca) y otros materiales cidos o corrosivos. Si el terreno tiene poca conductividad elctrica, verificar que se haya usado como relleno (slos o combinados) los siguientes materiales: bentonita (montmorillonita sdica, pH 10.5), yeso (sulfato de calcio, pH entre 6.2 y 6.9), sales (gel), etc. Todas las uniones o conexiones bajo tierra deben estar construidas de modo que no se presente corrosin en la unin o conexin. Las conexiones entre los diversos componentes deben ser mecnicamente

Esta nica medicin no garantiza que el sistema de puesta a tierra est en buenas condiciones. Por ejemplo, puede haber corrosin en los componentes del electrodo o en las uniones.

26

211

robustas, tener buena resistencia a la corrosin y baja resistividad elctrica. Uniones o conexiones innecesarias. Existencia de corrosin en el recorrido del electrodo enterrado. C. Revisar medidas y condiciones de cajas de control de la corriente elctrica. Verificar: a) El Tablero General de Electricidad debe tener llaves electromagnticas. b) Sealizacin del Tablero General de Electricidad. D. Revisar medidas y condiciones de tomacorrientes de equipos de cmputo. a) Los tomacorrientes de los equipos de cmputo deben tener lnea a tierra. b) Los tomacorrientes deben encontrarse sin deterioros fsicos. E. Revisar medidas y condiciones de equipos de suministro de energa elctrica. Verificar: a) b) c) d) Estado del UPS. Estado del generador de corriente elctrica. Cableado no daado. Cableado aislado de manera que no se afecte con las condiciones del entorno. Debe estar empotrado con canaletas.

F. Revisar la frecuencia de los mantenimientos a las instalaciones de puesta a tierra. G. Si la oficina se encuentra en lugares donde se dan rayos y truenos, como la Sierra por ejemplo, verificar la correcta instalacin de pararrayos. H. Analizar la prdida de valor que se podra originar por probables daos en las instalaciones elctricas. Recopilar adems, informacin sobre los daos ocasionados a los equipos por problemas en las instalaciones elctricas. De esa manera se tendra tambin una historia de los gastos en los cuales se ha incurrido.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un pozo de tierra. B. La organizacin no realiza un mantenimiento adecuado al pozo de tierra. C. La corriente elctrica para los centros de cmputo no est estabilizada. D. No se han implantado medidas de prevencin contra cortes de energa elctrica. E. El Tablero General de Electricidad tiene llaves de cuchilla o mecnicas. Estas llaves tienen plomos en su interior como un elemento de seguridad, no siendo apropiado ante una sobrecarga elctrica.

212

P054: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO PRINCIPAL


OBJETIVO Analizar y evaluar la seguridad de acceso al centro de cmputo principal de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del acceso por la puerta principal del edificio donde se encuentra el centro de cmputo principal. B. Revisin del procedimiento en recepcin para otorgar tickets de visitante y permitir el acceso a las instalaciones del edificio. C. Revisin del acceso al pISO/IEC donde se encuentra el centro de cmputo principal. D. Revisin del acceso por la entrada al centro de cmputo principal. E. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos que sirven de apoyo para la seguridad de acceso.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de personas que tienen relacin con el permISO/IEC de acceso a las instalaciones del centro de cmputo, desde los vigilantes que estn en la entrada, hasta el acceso a la puerta del centro de cmputo principal. B. Capacitacin otorgada al personal de seguridad en la puerta principal del edificio, referente a los criterios para decidir si se permite o no el ingreso de una persona a recepcin. C. Procedimientos para el personal, relacionados al acceso a las instalaciones, a personas ajenas a la organizacin. D. Informes sobre incidentes relativos a la seguridad de acceso. 213

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el acceso por la puerta principal del edificio donde se encuentra el centro de cmputo principal. Verificar lo siguiente: a) Criterios impartidos al personal de vigilancia para permitir el acceso de una persona al edificio. b) Revisin de bolsas, maletas u otro tipo de objetos en los cuales se pueda transportar armas. c) Deteccin de armas u objetos que pudieran servir para tal fin, sobre el cuerpo de las personas. C. Revisar el procedimiento en recepcin para otorgar tickets de visitante y permitir el acceso a las instalaciones del edificio. Verificar lo siguiente: a) b) c) Criterios impartidos al personal de recepcin para permitir el acceso de una persona al edificio. Capacitacin sobre reconocimiento de documentos de identidad falsos. Solicitud y custodia de identificacin de las personas que van a acceder a las instalaciones del edificio.

D. Revisar el acceso al pISO/IEC donde se encuentra el centro de cmputo principal. Verificar lo siguiente: a) b) c) d) Existencia de personal encargado de recepcin en el piso. Criterios impartidos al personal de recepcin del pISO/IEC para permitir el acceso a las instalaciones. Existencia de dispositivo para colocar clave de seguridad para el ingreso. Estado de la puerta que permite el acceso al pISO/IEC (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn el hecho de encontrar la puerta abierta.

E. Revisar el acceso por la entrada al centro de cmputo principal. a) b) c) d) Existencia de personal encargado de controlar el acceso. Criterios impartidos al personal encargado de controlar el acceso para decidir si permite a una persona dicho acceso. Existencia de dispositivo para colocar clave de seguridad para el ingreso. Estado de la puerta que permite el acceso al centro de cmputo principal (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn, si la encontramos abierta. Registro de ingreso y salida de personal ajeno al rea de Tecnologa de Informacin.

e)

F. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso. Calcular cunto dinero podra perder la organizacin si algn extrao que logre entrar al centro de cmputo principal, hiciera una dao mnimo o un dao total sobre sus instalaciones, as como la probabilidad de que esto ocurra. 214

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Continuamente se permite el ingreso al edificio a personas ajenas a las labores de la organizacin. Ejemplos: vendedores de comida, personas que vienen a realizar gestiones de otras organizaciones que se encuentran en el mismo edificio y transitan por pisos que no son los correctos, etc. B. El personal de recepcin slo entrega el ticket de visitante y no pregunta a quin va a visitar la persona a la cual le entrega el ticket. Generalmente slo pregunta el piso. C. Pese a que las puertas tienen dispositivos para colocar claves de seguridad para el ingreso, permanecen abiertas. D. La puerta de acceso al centro de cmputo no tiene dispositivo para colocar clave de seguridad. E. No se lleva un registro de quines ingresan o salen del centro de cmputo principal, as como la hora en que produjo la entrada o la salida.

P055: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO PRINCIPAL
OBJETIVO Analizar y evaluar el estado de las instalaciones del centro de cmputo principal de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin de la existencia de los equipos de acuerdo al inventario actualizado. B. Verificacin del funcionamiento de los equipos de cada tipo. C. Verificacin del funcionamiento de las tecnologas de informacin en los servidores. D. Verificacin del cumplimiento de las medidas de seguridad del centro de cmputo. E. Anlisis de la prdida de valor que se podra originar por los errores u omisiones encontradas.

215

El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos del centro de cmputo principal.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario actualizado de los equipos del centro de cmputo principal. Debe pedirse que se diferencie los equipos alquilados, prestados o propios. B. Inventario de tecnologas de informacin que existen en los servidores del centro de cmputo principal. C. Reportes de mantenimientos realizados sobre los equipos.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar la existencia de los equipos del centro de cmputo principal, de acuerdo al inventario actualizado. Revisar tanto los equipos alquilados, prestados o propios que se tenga en el centro de cmputo principal. C. Verificar el funcionamiento de las tecnologas de informacin en los servidores. D. Verificar el funcionamiento de los equipos de cada tipo: routers, switches, hubs, cableado, racks, computadoras servidores, equipo de aire acondicionado, alarma contra incendios, equipos de aire acondicionado, UPS, estabilizadores, supresores de picos, etc. E. Verificar el cumplimiento de las medidas de seguridad del centro de cmputo. Seguir el procedimiento relativo a la seguridad fsica y la seguridad lgica que se detalla en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin. F. Analizar la prdida de valor que se podra originar por los errores u omisiones encontradas. Calcular cunto dinero podra perder la organizacin por daos mnimos o mximos sobre el centro de cmputo principal, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin tiene equipos que no usa en el centro de cmputo. Ejemplo: computadoras servidores o computadoras de usuarios. Algunas veces usan el centro de cmputo para guardar lo que no sirve, incluyendo material inflamable como maderas, cuadernos, etc. 216

B. La organizacin alquila servidores computadoras fuera de uso.

pudiendo

ser

reemplazados

por

C. Existen problemas de seguridad de la informacin diversos. Ver seccin Salidas, en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin.

P056: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO ALTERNO


OBJETIVO Analizar y evaluar la seguridad de acceso al centro de cmputo alterno de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin del acceso por la puerta principal del edificio donde se encuentra el centro de cmputo alterno. B. Revisin del acceso al pISO/IEC donde se encuentra el centro de cmputo alterno. C. Revisin del acceso por la entrada al centro de cmputo alterno. D. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos que sirven de apoyo para la seguridad de acceso.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de personas que tienen la funcin de permitir el acceso a las instalaciones del centro de cmputo alterno, desde los vigilantes que estn en la entrada, hasta el acceso a la puerta del centro de cmputo alterno. B. Capacitacin otorgada al personal de seguridad en la puerta principal del edificio, referente a los criterios para decidir si se permite o no el ingreso de una persona. C. Informes sobre incidentes relativos a la seguridad de acceso. 217

D. Procedimientos para el personal, relacionados al acceso a las instalaciones, a personas ajenas a la organizacin.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el acceso por la puerta principal del edificio donde se encuentra el centro de cmputo alterno. Verificar lo siguiente: a) Criterios impartidos al personal de vigilancia para permitir el acceso de una persona al edificio. b) Revisin de bolsas, maletas u otro tipo de objetos en los cuales se pueda transportar armas. c) Deteccin de armas u objetos que pudieran servir para tal fin, sobre el cuerpo de las personas. C. Revisar el acceso al pISO/IEC donde se encuentra el centro de cmputo alterno. Verificar lo siguiente: a) Existencia de personal encargado de recepcin en el piso. b) Criterios impartidos al personal de recepcin del pISO/IEC para permitir el acceso a las instalaciones. c) Existencia de dispositivo para colocar clave de seguridad para el ingreso. d) Estado de la puerta que permite el acceso al pISO/IEC (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn. D. Revisar el acceso por la entrada al centro de cmputo alterno. a) Existencia de personal encargado de controlar el acceso. b) Criterios impartidos al personal encargado de controlar el acceso para decidir si permite a una persona dicho acceso. c) Existencia de dispositivo para colocar clave de seguridad para el ingreso. d) Estado de la puerta que permite el acceso al centro de cmputo alterno (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn. E. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso. Calcular cunto dinero podra perder la organizacin si algn extrao que logre entrar al centro de cmputo alterno, hiciera una dao mnimo o un dao total sobre sus instalaciones, as como la probabilidad de que esto ocurra.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El acceso al local del centro de cmputo alterno es fcil, dado que es un edificio de atencin al pblico. Cualquier persona podra subir por la puerta por la que accede el personal de la organizacin. 218

B. Basta con decir que trabajamos en la organizacin para que nos dejen subir sin problemas por todo el edificio. C. En el pISO/IEC donde se encuentra el centro de cmputo alterno no existe vigilancia previa al ingreso al centro de cmputo alterno.

P057: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO ALTERNO
OBJETIVO Analizar y evaluar el estado de las instalaciones del centro de cmputo alterno de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Verificacin de la existencia de los equipos de acuerdo al inventario actualizado. B. Verificacin del funcionamiento de los equipos de cada tipo. C. Verificacin del funcionamiento de las tecnologas de informacin en los servidores. D. Verificacin del cumplimiento de las medidas de seguridad del centro de cmputo. E. Anlisis de la prdida de valor que se podra originar por los errores u omisiones encontradas. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos del centro de cmputo alterno.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario Actualizado de los equipos del centro de cmputo alterno. Debe pedirse que se diferencie los equipos alquilados, prestados o propios. B. Inventario de tecnologas de informacin que existen en los servidores del centro de cmputo alterno. C. Reportes de mantenimientos realizados sobre los equipos.

219

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar la existencia de los equipos del centro de cmputo alterno, de acuerdo al inventario actualizado. Revisar tanto los equipos alquilados, prestados o propios que se tenga en el centro de cmputo alterno. C. Verificar el funcionamiento de los equipos de cada tipo. Por cada tipo de equipo: routers, switches, hubs, cableado, racks, computadoras servidores, equipo de aire acondicionado, alarma contra incendios, equipos de aire acondicionado, UPS, estabilizadores, supresores de picos, etc. D. Verificar el funcionamiento de las tecnologas de informacin en los servidores del centro de cmputo alterno. Considerar adems del inventario, que las tecnologas de informacin existentes, deben cubrir las necesidades de la organizacin ante una contingencia; por ello, el centro de cmputo alterno debe tener por lo menos lo mnimo indispensable para que la organizacin pueda funcionar, reemplazando al centro de cmputo principal de manera suficiente. E. Verificar el cumplimiento de las medidas de seguridad del centro de cmputo. Seguir el procedimiento relativo a la seguridad fsica y la seguridad lgica que se detalla en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin. F. Analizar la prdida de valor que se podra originar por los errores u omisiones encontradas, en el centro de cmputo alterno. Calcular cunto dinero podra perder la organizacin por daos mnimos o mximos sobre el centro de cmputo alterno, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra. Considerar adems la prdida de valor debido a que el centro de cmputo alterno no cumpla su funcin por no tener los sistemas de informacin necesarios para cubrir las necesidades de la organizacin ante una contingencia.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin tiene equipos que no usa en el centro de cmputo. Ejemplo: computadoras servidores y computadoras de usuarios. Comnmente se usa para guardar cosas que ya no sirven, incluyendo material inflamable como madera, cuadernos, etc. B. La organizacin alquila servidores computadoras fuera de uso. pudiendo ser reemplazados por

C. Existen problemas de seguridad de la informacin. Ver seccin 5 Hallazgos, en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin.

220

P058: PROCEDIMIENTO PARA LA AUDITORA DEL CABLEADO DE REDES DE DATOS


OBJETIVO Analizar y evaluar el cableado de redes de datos de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la ubicacin y condiciones del cableado de redes de datos. B. Revisin de la velocidad de la transmisin por el cableado de redes de datos. C. Anlisis de la prdida de valor que se podra originar por ubicacin o condiciones inapropiadas en el cableado de redes de datos. El alcance del procedimiento no incluye: B. Revisin tcnica de los equipos a los cuales se conectan los cables de redes de datos.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plano del cableado de redes de datos de la organizacin. B. Informes tcnicos de mantenimientos preventivos y correctivos anteriores.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin solicitada en la seccin anterior. B. Revisar la ubicacin y condiciones del cableado de redes de datos. Verificar: a) Ubicacin del Cableado. El cableado no puede estar expuesto a altas temperaturas. Evitar que est expuesto al sol. El cableado no puede estar cerca de motores ni cables de corriente elctrica. b) Condiciones del Cableado: El cableado no debe estar daado. El cableado debe estar colocado ordenadamente en canaletas. El cableado debe conectarse ordenadamente a los racks,

221

C. Revisar la velocidad de la transmisin por el cableado de redes de datos. Verificar que la velocidad sea la esperada: 10 Mbps, 100 Mbps, etc; visualizando la velocidad de la transmisin en las computadoras de los usuarios de diversas subredes. D. Analizar la prdida de valor que se podra originar por ubicacin, velocidad o condiciones inapropiadas en el cableado de redes de datos. Calcular el monto perdido sobre la base de las interrupciones del trabajo del personal debido a la velocidad, las malas condiciones o ubicacin del cableado de redes de datos, as como los montos de pago a proveedores por reparaciones de fallas que provocaron problemas mayores por no haber sido detectadas a tiempo.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El cableado del centro de cmputo se encuentra disperso por el pISO/IEC sin ningn orden, con el consecuente riesgo que el personal lo pise y se puedan generar interrupciones en el servicio para los usuarios de las redes de cmputo. B. No se usa adecuadamente los racks, pese a estar disponibles. C. El cableado de redes de datos se coloca de manera muy cercana a los cables de corriente elctrica. D. El cableado de redes de datos no se encuentra ubicado apropiadamente dentro de canaletas para evitar perturbaciones o ruido en la seal. E. El cableado est expuesto al sol. F. La velocidad de la transmisin por el cableado de redes de datos es menor a la esperada. Comnmente sucede porque las tarjetas de red o los switches o hubs no han sido actualizados a la velocidad que soporta el cableado.

P059: PROCEDIMIENTO PARA LA AUDITORA DEL CLCULO DE LA GENERACIN DE VALOR DE LOS PROYECTOS
OBJETIVO Analizar y evaluar la forma en que se realiza el anlisis de la generacin de valor de los proyectos de la organizacin.

ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de determinacin del perodo de evaluacin del proyecto. B. Revisin del proceso de determinacin de la tasa mnima atractiva de retorno. C. Revisin del flujo de caja proyectado.

222

D. Revisin del proceso de clculo de generacin de valor del proyecto del proyecto. El alcance del procedimiento no incluye: A. Construccin de alternativas al proyecto en evaluacin.

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: B. Metodologa para el clculo de la generacin de valor de los proyectos. C. Clculo de la generacin de valor de todos los proyectos.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar la definicin del perodo de evaluacin del proyecto. Debe ser una decisin del directorio basada en alguna de las siguientes formas: tiempo de vida de las tecnologas de informacin del proyecto, perodo de planificacin estratgica de la organizacin o un tiempo especialmente asignado por el directorio. C. Revisar la definicin de la tasa mnima atractiva de retorno de la inversin que ser aplicada al clculo del valor presente neto del proyecto. Esta tasa deber ser determinada por el directorio; pero teniendo en cuenta que debe ser superior a las tasas libres de riesgo o riesgo mnimo (tasas por depsito a plazo fijo por ejemplo). D. Revisar la identificacin de los ingresos adicionales por el proyecto. Revisar que los ingresos adicionales se den tanto por el incremento en el margen de contribucin (valor de venta menos costos variables) como por los ahorros generados por el proyecto. Considerar como ahorros no slo los costos que ya no se darn por la mejora en un proceso, sino tambin el ahorro en multas que se presentaran si no se cumple con entregar un requerimiento o los mrgenes que se dejaran de percibir por la inconformidad y retiro de los clientes de la empresa. E. Revisar la identificacin de los egresos adicionales por el proyecto. Recordar que los egresos adicionales se dan tanto por las inversiones adicionales como por los gastos adicionales debido al proyecto. F. Revisar el clculo del flujo neto como la diferencia entre los ingresos adicionales y los egresos adicionales. G. Revisar el clculo de la generacin de valor del proyecto. En el caso de empresas, la generacin de valor se determina mediante el clculo del valor

223

actual neto para los flujos netos del perodo de tiempo indicado, aplicando la tasa mnima atractiva de retorno. H. Verificar si el proyecto conviene o no conviene. Si el proyecto genera un valor actual neto negativo o un valor actual neto positivo que no es atractivo (unos cuantos soles por ejemplo), no tiene sentido ejecutar el proyecto.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no realiza un anlisis de generacin de valor antes de ejecutar los proyectos. B. El anlisis de generacin de valor se basa en suposiciones sin una adecuada estimacin numrica.

P060: PROCEDIMIENTO PARA LA ELABORACIN DEL INFORME PRELIMINAR


OBJETIVO Dar las pautas para realizar el proceso de elaboracin del informe preliminar de una auditora.

ALCANCE El alcance del procedimiento incluye: A. Revisin de la normatividad relativa a los informes de auditora. B. Revisin del detalle de las actividades comprendidas en la elaboracin del informe preliminar. C. Anlisis de generacin de valor del informe de auditora. El alcance del procedimiento no incluye: A. Revisin de la planificacin de las actividades para la elaboracin del informe preliminar. 224

ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo en evaluacin, la siguiente informacin: A. Normas externas para la presentacin de informes de auditora. B. Normas internas para la presentacin de informes de auditora. C. Estructura para los informes de auditora que indica la norma.

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente las normas relativas a los informes de auditora, tanto internas como externas. C. Revisar detalladamente la informacin solicitada. D. Realizar la evaluacin de la actividad objetivo asignada para la auditora. E. Elaborar cada una de las secciones del informe preliminar. Debe incluirse: a) Avance del informe con los siguientes puntos: i. ii. iii. iv. Introduccin. Objetivo y Alcance de la Actividad. Procedimientos y Tcnicas de Auditora. Evaluacin de la Actividad. Para cada gerencia auditada y para cada hallazgo indicar: enunciado del hallazgo, descripcin, causa, efecto, riesgo, y recomendaciones. Opinin

v.

En caso que el informe se deba realizar para una entidad del Estado Peruano, se debe tener la siguiente estructura lgica para la redaccin de cada hallazgo (observacin): i. ii. iii. iv. v. vi. vii. viii. Enunciado. Descripcin. Norma que se est violando. Causa. Efecto. Riesgo. Responsables. Recomendaciones.

b) Revisar y corregir el avance del informe con el Gerente de Auditora Interna, o Supervisor de la Auditora. F. Analizar la generacin de valor del informe de auditora. Debe analizarse cunto dinero se est generando para la empresa, ya sea por ingresos netos adicionales o por ahorros por errores en procesos o multas que ya no se 225

pagaran, gracias a que el informe evidenci esos problemas a tiempo. El dinero que se perdera debe estar colocado como observacin.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. Las secciones de tcnicas y procedimientos no se redactan adecuadamente. Carecen de informacin suficiente para que el auditor que desee realizar esa auditora en el futuro, pueda realizar las mismas actividades o proponer mejoras. B. Los informes demoran mucho en realizarse. C. Los informes estn enfocados en cosas puntuales y no se evala el tema como un todo para luego hacer recomendaciones conjuntas.

P061: PROCEDIMIENTO PARA EL ENVO, SUSTENTACIN Y CORRECCIN DEL INFORME FINAL


OBJETIVO Dar las pautas para realizar el envo, la sustentacin y la correccin del informe final de una auditora.

ALCANCE El alcance del procedimiento incluye: A. Envo del informe preliminar. B. Sustentacin del informe preliminar ante la gerencia auditada y la Gerencia General. C. Correccin del informe final. D. Envo al Comit de Auditora y al Directorio de la organizacin. El alcance del procedimiento no incluye: A. Revisin de la planificacin de las actividades para la elaboracin del informe preliminar. B. Revisin de las actividades para la elaboracin del informe preliminar.

ENTRADAS Para realizar este proceso, se requiere que la organizacin provea para el perodo en evaluacin, la siguiente informacin: A. Informes Preliminares de auditora de la gestin de tecnologas de informacin.

226

PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el informe preliminar y hacer las ltimas correcciones necesarias. C. Enviar a la gerencia auditada, va correo electrnico y en hojas impresas, el informe preliminar. D. Solicitar reunin con la gerencia auditada para tratar las observaciones del informe. E. En la reunin, recibir los comentarios de la gerencia sobre las observaciones realizadas. F. Retirar o corregir las observaciones que la gerencia auditada haya demostrado que no son correctas. G. Solicitar y/o Recibir los comentarios de la o las Gerencias Auditadas, o que resulten responsables de las observaciones encontradas. H. Enviar el informe preliminar corregido (con lo comentarios de la Gerencia Auditada) a la Gerencia General con copia a la gerencia auditada. I. Solicitar reunin con la Gerencia General y la gerencia auditada.

J. En la reunin, recibir los comentarios de la gerencia auditada y la Gerencia General. K. Retirar o corregir las observaciones que la gerencia auditada y la Gerencia General demuestren que no son correctas. L. Enviar el informe final (informe preliminar corregido) al Comit de Auditora con copia a la gerencia auditada y la Gerencia General, tanto por correo electrnico como en hojas impresas. M. Solicitar que se coloque en agenda del Comit de Auditora, la discusin del informe entregado. N. Discutir en el Comit de Auditora y/o el Directorio, el informe final. Enviar a los organismos supervisores, en caso lo indique la legislacin vigente que regula a la entidad supervisada.

SALIDAS Al desarrollar este procedimiento es comn encontrar las siguientes observaciones: A. No se indica cunto dinero ha perdido la organizacin, debido a los errores u omisiones ocurridos.

227

B. No se indica cunto dinero perdera la organizacin debido a los errores u omisiones ocurridos.

P062: PROCEDIMIENTO PARA LA ELABORACIN DEL PLAN DE TRABAJO DE LA AUDITORA


OBJETIVO Dar las pautas para la correcta elaboracin del plan de trabajo para la realizacin de una auditora en la organizacin.

ALCANCE El alcance del procedimiento incluye: A. Solicitud de informacin. B. Preparacin de cronograma de trabajo. C. Identificacin de hallazgos comunes. El alcance del procedimiento no incluye: A. Procedimientos detallados para el uso de herramientas de planificacin.

ENTRADAS Para realizar esta actividad, se requiere que la organizacin provea la siguiente informacin: A. Documentos fsicos que las reas auditadas deben entregar. B. Documentos electrnicos que las reas auditadas deben entregar o que el rea de Tecnologa de Informacin debe entregar. C. Acceso a tecnologas de informacin. D. Informes de auditoras internas y externas anteriores.

PROCESO A continuacin se detalla las actividades a realizar la preparacin del plan de trabajo: A. Solicitar informacin para la auditora. Responsable: auditor. Tiempo de Ejecucin: por lo menos 15 das tiles antes de comenzar el trabajo de auditora. B. Elaborar el cronograma de trabajo. Aqu se debe detallar claramente las actividades a realizar, junto a la duracin en horas, la fecha y hora de inicio y fin de cada actividad y quin ser responsable de ejecutarlas.

228

El Cronograma de Trabajo detallado debe entregarse de manera trimestral. Para elaborarlo deber tomar una plantilla de cronograma en la herramienta Microsoft Project. Las actividades a colocar en el Plan de Trabajo deben adecuarse a cada auditora; sin embargo, de manera genrica debera incluir en el orden indicado, lo siguiente: a) Solicitud de informacin para la auditora. Ver punto A. b) Avance de las siguientes secciones del informe: i.Introduccin. ii.Objetivo y Alcance de la Actividad. iii.Procedimientos y Tcnicas de Auditora. Responsable: Auditor. Duracin Mxima: 1 da til.

c) Revisin de avance del informe con el Gerente de Auditora Interna, o el Jefe de Comisin de Auditora. Responsables: Gerente de Auditora Interna y Auditor. Duracin Mxima: 1 da til.

d) Revisin de la informacin solicitada por el auditor. Aqu se debe detallar paso a paso cuando se va a revisar cada tipo o bloque de informacin solicitada. Responsable: Auditor. Duracin Mxima: 10 das tiles. Eventualmente, bajo aprobacin del Gerente de Auditora Interna o el Jefe de Comisin de Auditora, el tiempo podra extenderse.

e) Elaboracin del Informe Preliminar. Responsable: Auditor. Duracin Mxima: 5 das tiles. Eventualmente, bajo aprobacin del Gerente de Auditora Interna o el Jefe de Comisin de Auditora, el tiempo podra extenderse.

f) Verificacin de las observaciones encontradas en el Informe Preliminar (sin entrega del informe) con personal del rea auditada. Responsable: Auditor. Duracin Mxima: 1 da til.

g) Revisin del Informe Preliminar con Gerente de Auditora Interna o el Jefe de Comisin de Auditora. Responsable: Auditor. Duracin Mxima: 2 das tiles.

h) Envo por correo electrnico del Informe Preliminar al gerente del rea auditada.

229

i)

Responsable: Secretaria y/o Auditor. Duracin Mxima: 1 da til.

Reunin con gerente del rea auditada para realizar las verificaciones finales del Informe Preliminar. Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y Auditor. Duracin Mxima: 1 da til.

j)

Elaboracin del Informe Final. Realizar las correcciones que sean necesarias en el informe preliminar, de acuerdo a la reunin con el gerente del rea auditada. Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y Auditor. Duracin Mxima: 1 da til.

k) Entrega del Informe Final. Se entregar al gerente del rea auditada y al Gerente General. l) Responsable: Secretaria. Duracin Mxima: 1 da til.

Revisin del Informe Final. Se revisar el informe con el gerente del rea auditada y el Gerente General. Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y auditor. Duracin Mxima: 1 da til.

m) Correcciones al Informe Final (de ser necesarias). Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y auditor. Duracin Mxima: 1 da til.

C. Identificar hallazgos comunes. Aqu se debe especificar qu hallazgos comnmente se encuentra en el desarrollo de la auditora. Esto se debe desarrollar de manera previa a la auditora, colocando lo aprendido a travs de la experiencia de informes de auditoras internas y externas anteriores, experiencia del auditor y experiencia del Gerente de Auditora Interna (o Jefe de Comisin de Auditora).

SALIDAS Al desarrollar esta actividad es comn darnos cuenta de lo siguiente: A. Se realiza un plan de trabajo poco detallado. B. No se incluyen todas las actividades necesarias para el desarrollo de cada auditora.

230

C. No se cumplen los plazos previstos para la auditora.

P063: PROCEDIMIENTO PARA LA MEDICIN DE LA RESISTENCIA DE LA PUESTA A TIERRA


OBJETIVO Dar las pautas para la correcta medicin de la resistencia de la puesta a tierra en una instalacin elctrica relativa a los equipos de cmputo y redes de datos.

ALCANCE El alcance del procedimiento incluye: A. Pasos detallados para la medicin de la resistencia de la puesta a tierra. El alcance del procedimiento no incluye: A. Revisin de la construccin de la puesta a tierra.

ENTRADAS Para realizar este procedimiento, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes elaborados en los mantenimientos de los tableros de control de la energa elctrica y los mantenimientos del pozo de tierra. Considerar tanto mantenimientos preventivos como correctivos. B. Plano de instalaciones elctricas de equipos de cmputo. Considerar: pozo de tierra, caja de control de la corriente elctrica, tomacorrientes de equipos de cmputo y equipos de suministro de energa elctrica (UPS y generador).

PROCESO Las actividades a realizar son las siguientes: A. Revisar la informacin solicitada en la seccin anterior. B. Desenergizar la instalacin. C. Desconectar el electrodo a tierra del sistema elctrico27. D. De no ser posible desenergizar la instalacin y desconectar de manera completa el electrodo de tierra, seguir los siguientes pasos:
De no ser as, se podra generar una diferencia de potencial peligrosa para el personal que elabora las mediciones.
27

231

a) Asignar a un responsable de las actividades de medicin. b) Proveer un medio de comunicacin constante (radio o telfono porttil) a todos los que participan en la prueba. c) Proveer guantes y calzado adecuado al personal y verificar que los usen. d) Usar doble interruptor con aislamiento apropiado para conectar los cables al instrumento de medicin. e) Usar placa metlica para asegurar una equipotencial en la posicin de trabajo. La placa debe ser lo suficientemente grande para incluir al instrumento, al interruptor y al operador durante la prueba. Se debe tener un terminal instalado de modo que la placa pueda conectarse al electrodo. f) Suspender la prueba durante una tormenta elctrica u otras condiciones severas de clima.

E. Realizar la medicin.

SALIDAS Al desarrollar este procedimiento, es comn encontrar las siguientes fuentes de error: A. Colocar la estaca de corriente demasiado cerca del electrodo bajo prueba. B. Colocar la estaca de voltaje demasiado cerca del electrodo de prueba28. C. No considerar metales enterrados que se ubican paralelos a la direccin de la prueba. D. Usar cable con aislamiento daado.

La teora indica que en terreno uniforme basta una lectura colocando la estaca de voltaje a una distancia del electrodo en prueba igual al 61.8% de la distancia entre el electrodo en prueba y el electrodo de corriente (PROCOBRE, 2005).

28

232